総務省指針「パスワードの定期変更は不要」リスクよもやま(2)(2018.9)

2018/09/06 / 総合研究部 山岡 渉 プリント

 前回の「SPNの眼」では、パスワードの定期変更の要否をめぐる経緯と、総務省の方向転換を経た注意点を振り返りました。今回は、パスワードの定期変更にかかる例外や推奨されるケースをまとめていきたいと思います。

6. パスワード定期変更の解釈

 総務省はパスワードの定期変更を単純に否定しているのではなく、「複雑で推測しにくいパスワードであれば流出・漏えいがない限り定期的な変更の必要はない」ということを指していることに注意が必要です。どういうことかというと、短い周期でパスワードの変更を強いると、利用者は解析されやすい単純化されたパスワードを設定してしまう傾向があり、むしろセキュリティの強度を低下させてしまうことがあるということです。そうした背景から、「むやみに定期変更を強いることはやめよう」というのが、政府が方針を変更した意図と考えられます。そして、定期的に変更する必要がない程度に「複雑なパスワード」を用いることが推奨されるようになったというわけです。
 また、総務省やNIST(米国国立標準技術研究所)は、正確には"パスワードを定期変更してはいけない"というよりも、「運用者側が利用者に対し、定期変更を強いてはいけない」というニュアンスであることに着目する必要があります。
 そもそも、「何らかの事故がきっかけでパスワードが漏えいしてから定期変更するまでの期間は認証を突破できてしまう」ので、定期変更でリスクを回避できるパターンはごく限られています。そのようなリスク回避のメリットよりも、"ただでさえ覚えられないパスワードを変更させる"ことで、従業員やサービスの利用者がどんどん単純で簡単なパスワードを設定してしまったり、情報システム部に何度もパスワードリセットの問い合わせをしたり...といったように、デメリットの方が多くなってしまうということです。


【パスワードの定期変更が危険視される理由】
・ 利用者は類似のパスワードを使い回すので、変更する効果がない
・ 定期的に変更することが前提のため、単純な文字列・桁数にしがち
・ 定期的に変わるパスワードを忘れないよう、メモ帳や付箋に記録して杜撰に管理してしまう

7. 定期変更を検討したほうが良いケース

 ただ、上記を受けて、パスワードの変更は絶対にするなという意味に誤解しないよう注意する必要があります。「何が何でもパスワード変更は間違いだった」との考えは危険です
 例えば利用しているサービスの提供元が情報流出事故を起こし、パスワードも漏えい被害に遭った場合や、誰かがなりすましてSNSやクラウドサービスを悪用する恐れがある場合は当然速やかにこれまで使っていたパスワードを変更すべきです。
 また、組織の重要機密を扱う基幹システムのログインパスワードが利用者ごとに管理されているのではなく、一つの共通パスワードを設定してあるだけなら、少なくとも人事異動後にパスワード変更すべきです。また8文字未満の簡単なパスワードを使っていたり、複数のシステムやサービスで同じパスワードを使いまわしたりしているなら、この機会に、サービスごとに異なる長くて覚えやすいパスワードに変更することをお勧めします。
 その他にも例外的に定期変更すべき場合があります。それが、一つのアカウント(ID/パスワード)を複数の人間が使いまわしている場合です。

【アカウントを共用している場合】
 例えば、「部署で共通のアカウントを使っている」というような場合です。ファイルサーバや社内システム、部署ごとのネットワークのセグメントが分けた際、部署ごとにアカウントがあり、それを部内で共通で使っているケースがこれに当たります。
 恐らく情報システム部が関係するような全社的システムではなく、部署ごとに導入したサービスなどが該当するのではないかと思います。この場合、部署の従業員間で共有する資料に、もし「パスワード」が書かれていたとしたら、それこそが部署共通アカウントとなっているはずです。このアカウントに関しては、いますぐ、パスワードを定期的に変更する運用を取る必要があります。
 このようなアカウント運用をしている部署は恐らく、人が異動したあとや退職したあとでも同じアカウントを運用しているはずです。そうすると、部署の人間ではない人がアカウントにログインできる可能性が出てきてしまうということになります。
 そしてもう1つ運用の見直しとして検討したいのが「共通アカウントの廃止」です。これはパスワードの定期変更よりも先に実施してほしいことであり、「一人ひとりにアカウントとパスワードを配る」という運用に、変更することが望まれます。
 例えば、「誰かが社内の情報を勝手に閲覧したり、持ち出したりする情報漏えい事案」が起きたとすると、それが明らかになった時点で、企業には詳細な経緯と原因を明らかにすることが求められます。これはまさに時間との闘いになるわけですが、その時、もし共通アカウントが存在したら、そのアカウントとパスワードを知っている全ての人間が「被疑者」になりえてしまうのです。
 こうなると、調査のために多くのメンバーが仕事をできなくなる上、そこにいるすべて「仲間」を社内で疑うことになります。つまり、共通アカウントの運用を見直すことは、問題のあるアカウントを絞る上でも有用ということになります。

  

 【重要情報を扱うシステム】
 企業・組織の顧客情報など、最重要情報であり、組織の一部の限定された人間だけが扱う基幹システムにおいて、ログインパスワードが一つしか設定されていない場合などはこれまで同様に定期的なパスワード変更が求められます。
 人事異動、退職などで、組織が管理する最重要システムを取り扱う人間が変わっていくのに、同じログインパスワードのままにしておくと、どういうことが起こるのか、想像に難くありません。人事異動で最重要情報を扱う必要がなくなった人間が、これまで通り最重要情報を扱えることは、内部からの情報漏えいにつながりますし、目的外利用にもつながります。
 退職した人間も同様です。退職し組織と無関係になったにもかかわらず、最重要情報にアクセスできる権限が残っているリスクはとても高いと言えます。
 このようなことを防ぐために、最重要情報を取り扱う基幹システムは、アカウント管理と併せて、少なくとも人事異動後にはログインパスワードの変更が必要となる場合もありますし、情報の重要度によっては、厳格なパスワード設定ルールに基づいて定期的にパスワードを変更することが今後も求められます。
 また、基本ソフトである「ウィンドウズ」は、アップデートを経て日に日にセキュリティを増していますが、一部バージョンにはかつて、深刻な脆弱性が存在していました。一般の利用者が管理者になりすますことができたり、管理者のパスワードが残されてしまったりしたのです。
 例えば、①上記の脆弱性が発覚する前=対応が困難な時期に、社員のパソコンに情報システム部門が管理者権限でログインして設定を施したところ、②そのパソコンを窃取した第三者が、パソコン内に残されていた管理者権限のパスワードを解読し、その権限を奪取する...といったことも可能になってしまいます。


8. まとめ

 今後、個人で利用するシステムやサービスはパスワードの定期的な変更を求めることはなくなっていくものと思われます。ただ、組織の最重要情報へアクセスするためのパスワードや、組織の一部の限定された人間だけが扱う基幹システムにおいて、ログインパスワードが一つしか設定されていない場合などはこれまで同様に定期的なパスワード変更が必要であることに注意が必要です。
 例えば、米国への輸出事業においては「テロ防止のための税関産業界提携プログラム」に則る必要がありますが、この遵守項目の中には「定期的にパスワードの変更を要求するものでなければならない」と定められています。
 また、クレジットカード業界のセキュリティ基準「PCI DSS」でも、クレジットカード事業者や取扱事業者に対して「ユーザー・パスワードは少なくとも90日ごとに変更する」ことが義務付けられています。
 このように、まだ定期変更が推奨されるケースもあるなど、総務省の「パスワード定期変更の要請」はこれがすべてではないということに留意する必要があります。
 今後はIoTや高度なサービスの普及によって、ID/パスワードによる認証が必要になる場面も増える可能性が高くなります。利用者としては、利便性と安全性のバランスのなかで認証にかかる危険性や安全性をしっかり認識する必要があります。
 ID/パスワード認証は「(基本的には)セキュリティが強く、かつとても使いやすい」優れた認証方法です。一方で弱点もあり、それが「記憶や記録から外へ出た瞬間、無防備になる」という点です。また、「パスワードがたくさんありすぎて覚えられない。設定したパスワードが難しいとなかなか覚えられない」といった点も挙げられます。
 パスワードは、それ自体は強固なのですが「きちんとした管理が難しい」という大きな弱点も確かにあるので、その点を強く意識する必要があります。いずれにせよ、安易なパスワード管理や設定は、セキュリティ上の穴になることだけは間違いありません。


9. 補足

 簡単で規則性のあるパスワードは今の技術では簡単に解析されてしまいます。推測されやすいパスワードを長く使い続けているのでは破られるのを待っているようなものです。変更が不要なパスワードとは、十分複雜なパスワードであることが必要条件です。

【危険なパスワード】
・ユーザー名と同一のもの
・姓名、または姓名の片方(sato・taro・satotaroなど)
・ユーザー名に数字を加えたもの(sato55など)
・製品名や商標名(au、Androidなど)
・名詞(book、pencilなど)
・地名(tokyoなど)
・組織の略語(研究開発室をR&Dと表記するなど)
・規則のある数字や英字(777、abcdeなど)
・キーボードの配列(qwertなど)


 安全なパスワードとして、ワードではなく、パスフレーズを用いることで、人の能力範囲内で記憶でき、かつ十分な桁長のパスワードの設定を行う工夫もあります。パスフレーズとは、パスワードよりも文字数が多い文字列のことで、通常よりも高度なセキュリティが必要な時に使われるものです。本来は64文字以上を使用することが推奨されていますが、現状64文字以上を設定できるシステムはまだ少なく、また文字数として長すぎることから、単なるフレーズではなく、このように部分変換で複雑化することで文字数を減らす工夫もある、ということです。たとえば、『Sato 1s very Smart』とすれば、単なるフレーズだけではなく、数字も組み込めて複雑化することができるでしょう。
 複雑なパスワードは長い方が破られにくいため、こうした"パスフレーズ"はある程度の長さを確保できるからつくりやすく覚えやすくなります。厳密にはパスワードの長さは設定するシステムによって決められていますが、たとえば8文字から12文字で設定するように指示されているのであれば、複雜な12文字のパスワードにしておくのがより安全です。


(了)

SPNの眼

公式ツイッター

SPクラブメンバーズサイト