Windowsではパスワードの定期的な再設定は不要--MSがガイドラインの改定へ

Steve Ranger (ZDNET.com) 翻訳校正: 石橋啓一郎

2019-06-11 06:30

 パスワードに有効期限を設定することは、ユーザーアカウントを保護する方法としては時代遅れであり、有害無益だとさえ言えるかも知れない。30日か60日ごとにパスワードの変更を迫られることは、新しいパスワードをひねり出して覚えておかなければならないユーザーにとって頭痛の種である上に、セキュリティの向上にもほとんど役に立たない。

 今ではMicrosoftもスタンスを変え、「Windows 10」と「Windows Server」のセキュリティベースラインに含まれていた、パスワードに期限を設定すべきであるという推奨事項を削除することになった。米ZDNetのLiam Tung記者が別の記事でも書いた通り、Microsoftは、新しいガイドラインのドラフトを公表する際、有効期限に関するポリシーを廃止する意向を明らかにした。

 Microsoftは「定期的なパスワードの失効は、パスワード(またはハッシュ)が有効期間中に盗まれ、不正な主体によって使用される場合に対する防御にしかならない。そもそもパスワードが盗まれなければ、失効させる必要もない。また、パスワードが盗まれたことを示す証拠があれば、おそらく有効期限が来て失効するのを待つよりも、直ちに行動する方が問題を解決するためには望ましい」と説明し、さらに次のように続けている。「定期的なパスワードの失効は、価値が低く、古くさい時代遅れの緩和策だ」

 Microsoftは、企業はユーザーがパスワードをひねり出す(そしてパスワードを付箋紙に書き留める)作業だけに頼るのではなく、認証とセキュリティに関して幅広いアプローチを取るべきだと述べている。また同社は、パスワードの最小限の長さ、履歴、複雑さについての要件は変更しないと述べている。Microsoftによれば、パスワードの有効期限についての記述がベースラインから削除されれば、企業は監査人からペナルティを受けずに独自の判断を下せるようになる。

 「特定の値や、有効期限を設定しないことを推奨するのではなく、この要件をわが社のベースラインから削除することで、組織はわが社のガイダンスに違反することなく、それぞれが考えるニーズに合わせて選択を行えるようになる。同時にわが社は、ベースラインでは示すことができないものの、追加的な保護手段を採用することを強く推奨していると強調しておく」と同社は述べている。

 Microsoftは10年以上前からパスワードは将来消滅すると予想しており、最近ではそれを実現するための取り組みを積極的に進めている。同社は以前から、パスワードは企業にとって不便であり、安全性が低く、コストが高いと主張してきた。同社は、パスワードは複数の形態の認証手段やバイオメトリクスに置き換えられるべきだと主張している(ただし、バイオメトリクスには別の問題がある)。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]