【コラム】情報セキュリティトピックス 2018年5月号/パスワードの重要性と管理のあり方

1.パスワードの重要性と管理のあり方

 「セキュリティ上、定期的にパスワードを変更する必要がある」。この考えは長らく情報セキュリティの基本中の基本とされていました。日本をはじめ世界中で、システムへのログインパスワードは複数の文字種を用いた複雑で文字数の多いものを3ヶ月ごとなど定期的に変更することが求められてきました。多くの日本の企業、公共団体でも、情報システムのログインパスワードは定期的に変更することとルールで定められているでしょうし、ECサイトやクラウドサービスにおいても、一定期間経過したログインパスワードは変更するよう案内されてきました。例えば、「前のパスワードを設定してから90日が経過すると、ポップアップでパスワード変更の通知が表示され、7日以内に変更しないとロックされる」といったものです。
 しかし、現在は、定期的なパスワード変更は推奨されなくなりました。総務省が、今年3月パスワードの変更に関する大幅な方向転換を発表し、ヤフーも通販などで利用者が使うアカウントのパスワードについて、「定期的に変更いただくことをおすすめします」との注意喚起を近く削除する方針であることを公表しています。また、個人情報を適切に扱う事業者に与えられる「プライバシーマーク」を発行する一般財団法人日本情報経済社会推進協会も認定時の審査基準を改定し、パスワードの定期的な変更を不要にする方針を示しており、Pマークを取得済みの約1万5千社・団体でも同様の動きが広がりそうです。 今回の「情報セキュリティトピックス」では、パスワードはなぜ定期的な変更が推奨されなくなったのか、また、ID/パスワードによる認証をとりまく情報セキュリティ上の問題を再認識していきたいと思います。


 

続きはこちらから

ニュース

公式ツイッター

SPクラブメンバーズサイト