【コラム】SPNの眼 2018年9月号/総務省指針「パスワードの定期変更は不要」リスクよもやま(2)

 前回の「SPNの眼」では、パスワードの定期変更の要否をめぐる経緯と、総務省の方向転換を経た注意点を振り返りました。今回は、パスワードの定期変更にかかる例外や推奨されるケースをまとめていきたいと思います。

6. パスワード定期変更の解釈

 総務省はパスワードの定期変更を単純に否定しているのではなく、「複雑で推測しにくいパスワードであれば流出・漏えいがない限り定期的な変更の必要はない」ということを指していることに注意が必要です。どういうことかというと、短い周期でパスワードの変更を強いると、利用者は解析されやすい単純化されたパスワードを設定してしまう傾向があり、むしろセキュリティの強度を低下させてしまうことがあるということです。そうした背景から、「むやみに定期変更を強いることはやめよう」というのが、政府が方針を変更した意図と考えられます。そして、定期的に変更する必要がない程度に「複雑なパスワード」を用いることが推奨されるようになったというわけです。
 また、総務省やNIST(米国国立標準技術研究所)は、正確には"パスワードを定期変更してはいけない"というよりも、「運用者側が利用者に対し、定期変更を強いてはいけない」というニュアンスであることに着目する必要があります。
 そもそも、「何らかの事故がきっかけでパスワードが漏えいしてから定期変更するまでの期間は認証を突破できてしまう」ので、定期変更でリスクを回避できるパターンはごく限られています。そのようなリスク回避のメリットよりも、"ただでさえ覚えられないパスワードを変更させる"ことで、従業員やサービスの利用者がどんどん単純で簡単なパスワードを設定してしまったり、情報システム部に何度もパスワードリセットの問い合わせをしたり...といったように、デメリットの方が多くなってしまうということです。



 

続きはこちらから

ニュース

公式ツイッター

SPクラブメンバーズサイト