みずほ情報総研株式会社　経営・ＩＴコンサルティング部
　　　　　　　　　　　 　　　　　　 冨田　高樹

ここ1〜2ヶ月、「パスワードの定期変更は必要か」が世間を賑わせています。
情報セキュリティの専門家の間では昔から議論になっていましたが、内閣サイバーセキュリティセンター（NISC）や総務省が一般向けの啓発コンテンツで「変更不要」と公表したことをきっかけにマスメディアでも大きく報じられました。これら機関による過去の公表と比べても、話題性は際立っています。
そこで、今回はなぜ世間で話題になったかについて、「意外性」と「唐突さ」の2つの観点から論じてみたいと思います。

◎意外性について
パスワードの定期変更が不要というのは、一見すると「セキュリティを緩めてよい」という印象を与えます。管理しなければいけないパスワードが増え続ける中、一般の利用者向けに手加減してくれたのでしょうか。もちろん、セキュリティの啓発側にそんな意図はありません。現在の一般的な使い方であれば、パスワード変更の頻度を高めても安全性はあまり高まらないことが明らかになっています（※）。一方、米国での調査の結果、「しょっちゅう新しいパスワードを考えるのは面倒だから、簡単なのにしておこう」あるいは「他のパスワードと同じにしよう」と考える人が多いことがわかりました。そこで、「定期的に変更しなくてもよいから、もっと長くて破られにくいパスワードを、機器やサービス毎に異なるように設定して下さい」と促すほうが良いとの判断に至ったわけです。また、パスワードの定期変更に神経質になるような重要な用途であれば、パスワードだけに頼らず、バイオメトリクス、ICカードといった他の認証方法や、それらを併用した多要素認証に移行すべきとされていることも、セキュリティを緩める方向ではないことを裏付けています。ですので、今回の公表を受けてパスワードの定期変更を義務づけないようにするのであれば、あわせて使用してよいパスワードの条件について、「10文字以上など十分な長さがある」「他人に推測されたり、辞書から類推されたりしにくい文字列にする」「他の機器やサービスとの使い回しをしない」といった条件を満たすものを設定するよう、利用者に改めて求める必要があります。

◎唐突さについて
今まで「パスワードの定期的な変更が欠かせない」と言っていたのを、突然手のひらを返したように感じられるのも、話題になった原因でしょう。実際のところ、今も定期変更すべきと考えているセキュリティ研究者はいますし、依然として定期変更したほうがよい場合もあります。それは、ログオンに使うIDを共用している場合です。例えば、１台のパソコンを複数の人で共用していて、ログオンに同じIDを使っているような状況です。きちんとセキュリティ対策を行っている組織では、こうしたIDの共用は責任が曖昧になったり、不正をした人の特定が難しくなったりする原因になるので禁止されていることが多いのですが、今でもこんな運用をしている例はあるかもしれません。このような環境では、共用しているメンバーが交代した後も利用できてしまっては問題なので、パスワードの有効期限を設定することに実質的な効果があります。実は政府共通のセキュリティルールである「政府機関の情報セキュリティ対策のための統一基準」においては、2014年5月にパスワードの定期変更を求める項目が無くなったのですが、同時に共用IDを利用せざるを得ない場合について、他の認証手段の併用等による利用者の特定と、共用IDの管理に関するルールを制定することが求められるようになりました。このように、定期変更したほうがよいかどうかは条件によって変わってくるため、世間で一斉に切り替えるべきというものではありません。NISCや総務省が今になってこうした公表をしたのも、国内の一般的な利用者におけるパスワードについての意識や管理の負担、ID共用の実態などを踏まえて、総合的に判断した結果なのだと思います。各種業界向けのセキュリティガイドラインなどは、NISCや総務省における方針を受けて、最近1〜2年の改訂の際にパスワードの定期変更を求める項目が削除されているものもあり、業種によっては唐突とは感じられていないかもしれません。

以上、パスワードの定期変更が話題になった原因を、意外性と唐突さの２点から検討してみました。今回の動きを踏まえてプライバシーマークの審査基準も改定され、パスワードの定期変更が不要となるとのことで、多くの企業におけるパスワードに関するルールも今後見直しが進むものと見込まれます。すでに長くて難しいパスワードを設定した上で定期的に変更していた人にとっては「もっと早く言ってくれれば」と思うところかもしれませんが、上述のような共用IDの実態なども踏まえると現実的なタイミングなのでしょう。

なお、ご承知かと思いますが、変更が不要なのは、何事も起きていない状況だけです。他人の視線のある環境でパスワードを入力してしまった（画面に表示されなくてもキータッチを追える人はいます）とか、届いたメールを信じてクリックして開いた画面でログインしてしまったけれど、冷静に考えると偽サイトかもとか、パスワードの漏えいが気になるときは、安全と思われる環境で速やかに変更することが大切です。

サイバー攻撃が高度化・巧妙化する中、パスワード以外にも利用者が意識すべきことが増えています。変更の手間が省けた分、不審な挙動に神経を研ぎ澄ますことができれば、トータルでの安全性をさらに高めることになるでしょう。

※パスワードの定期変更による効果については、本メールマガジンのバックナンバーですでに詳しく解説されています。
　「セキュリティ都市伝説『パスワードの定期的変更』」
　（株式会社NTTデータ　 大谷 尚通 ）
　https://www.jnsa.org/aboutus/jnsaml/ml-57special.html

＃連載リレーコラム、ここまで

＜お断り＞
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

【部会・WG便り】
★JNSA2017年度活動報告会、申込を開始しました。
　2017年度のJNSAの部会・WG活動についての報告会です。
　ぜひ多くの方の御参加をお待ちしています。
　日時：6月12日（火）9：45?15：30
　場所：ベルサール神保町
（千代田区西神田3-2-1住友不動産千代田ファーストビル南館3F）
　お申込み、詳細プログラムはこちらから。
　　https://www.jnsa.org/seminar/2018/0612/

★CISO支援WGによる成果物「CISOハンドブック」公開間近です！

【事務局からの連絡、お知らせ】
★内閣サイバーセキュリティセンター（NISC）では、「ネットワーク
ビギナーのための情報セキュリティハンドブック」のスマホ・タブレット
端末用の無料アプリが公開されています。ぜひお試し下さい。

ネットワークビギナーのための情報セキュリティハンドブックVer.3.00
https://www.nisc.go.jp/security-site/handbook/index.html#app

★2018年度総会を以下の日程で行います。会員の方の参加登録は近日中
に開始予定です。
日時：2018年6月12日（火）16時から（会場：ベルサール神保町）

★JNSA会報誌「JNSA Press Vol.45」をHPに掲載しました。
https://www.jnsa.org/jnsapress/vol45/

★サイバーインシデント緊急対応企業一覧を公開しています。
https://www.jnsa.org/emergency_response/
緊急対応可能な窓口をお持ちの会員企業様は、
JNSA事務局までお問合せ下さい。

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン　第136号
発信日：2018年5月7日
発　行：JNSA事務局　
*************************************