フィッシング対策協議会は、インターネットサービス提供事業者に対して実施した「認証方法」に関するアンケート調査の結果を発表した。これによると、大部分の回答者が「IDとパスワードのみ」と回答する中、20%以上が「多要素認証」や「リスクベース認証」なども用いた複合的な認証を実施していると回答した。
インターネットサービスの個人認証を主にどのような方法で実施していますか?
また、パスワードの定期的な変更については、73.7%の回答者が「実施している」とした。ただし、パスワード変更を必須としているわけではなく、推奨にとどめているものも含まれる。要求するまでの期間についても、3カ月以内から12カ月以上まで分布している。
インターネットサービスにおいて、パスワードの定期的な変更を要求していますか?
パスワード管理について、何らかの方法で盗まれても問題ない読めない状態(ハッシュ、暗号化など)で管理しているかという問いには、86%が「はい(パスワードを読めない状態で管理している)」と答える一方、13.6%の回答者が「いいえ」と回答しており、パスワードが「平文」の状態で管理されていると考えられるとした。
これらの結果について、フィッシング対策協議会では、パスワード以外の要素を認証に追加すると利用者の利便性が低下するため、事業者側は、多要素認証の導入を単に推進するのではなく、サービスが扱う情報や資産の性質と、安全性・利便性のバランスを考慮して、サービスごとに適切な認証環境を構築しているとしている。
また、パスワードの定期的な変更については、総務省の「国民のための情報セキュリティサイト」において、「パスワードの定期的な変更は不要」と修正された内容が発表されたが、これらは、単純なパスワードの使用をしない、使い回しをしない――という認識が利用者間に行き渡っている前提において成り立つことだとした。現在は、利用者側にそのことを啓発しつつ、同時にサービス事業者側に対しても前提を満たしたうえで、パスワードの定期的な変更を不要とすることを浸透させる段階だとしている。
パスワードデータの管理については、今回「いいえ」と回答した事業者には、元のパスワードが分からない状態で保存する対策が知られる前から何らかの対策を継続している場合や、本人確認のうえ登録パスワードを知らせるサポート対応をしている場合などが含まれていることも考えられるとした。
調査は2月19~28日に実施された。調査対象はインターネットサービスを提供している事業者(匿名)で回答者は308人。