総務省はパスワードの定期的な変更を今後も求める

パスワードの定期変更にかかる規定の削除

総務省の「国民のための情報セキュリティサイト」において、パスワードの定期的な変更を求めることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることで、かえってセキュリティ上、問題となる旨の見解が示されたことは、マスコミを通じてご存知の方もいらっしゃるでしょう。

設定と管理のあり方|IDとパスワード|どんな危険があるの?|基礎知識|国民のための情報セキュリティサイト

さらに本年2018年9月に改正された総務省の地方公共団体の情報セキュリティポリシーに関するガイドラインでは、システムを利用する情報取扱者等へのパスワードの定期変更を求める規定が削除されました。

総務省|「地方公共団体における情報セキュリティポリシーに関するガイドライン」等の公表及び意見募集の結果
 総務省では、平成13年3月に「地方公共団体における情報セキュリティポリシーに関するガイドライン」を策定(平成15年3月一部改定、平成18年9月全部改定、平成22年11月 一部改定、平成27年3月一部改定)し、平成15年12月に「地方公共団体における情報セキュリティ監査に関するガイドライン」を策定(平成19年7月全部改...

総務省の地方公共団体の情報セキュリティポリシーに関するガイドラインは、求めるレベルが高いために、参考にしている民間組織も少なくないでしょう。

地方公共団体とは、皆さんの住民情報や税情報など大量の個人情報を大規模に取り扱う市役所などのことです。

そのような組織に求められる情報取り扱いガイドラインは、つまり日本を代表する指針とも言え、そのなかで、システムを利用する職員等の情報取扱者へのパスワードの定期変更を求める規定が削除されました。

これにより、日本では全てのパスワードは定期的な変更が不要になったと思われるかもしれません。

しかし、それは間違いです。

システムの利用者へのパスワード定期変更を求める規定がないだけ

総務省の地方公共団体の情報セキュリティポリシーに関するガイドラインでは、「システムを利用する者」へのパスワードの定期変更を求める規定が削除されただけです。

特権IDのパスワードは定期変更すべし

同ガイドライン全文を読むと分かるのですが、特権IDにかかるパスワードについては、「特権を付与されたID及びパスワードについて、職員等の端末等のパスワードよりも定期変更、入力回数制限等のセキュリティ機能を強化しなければならない。」と規定されています。

つまり総務省では、大量の重要情報を取り扱う地方公共団体に対して、特権IDのパスワードは、システムを利用するユーザのパスワードとは取り扱いを異なるものとし、今後もパスワードの定期的な変更による厳重な管理を求めているのです。

システム利用者うんぬんではなく特権IDかどうかが問題

特権IDのパスワードはこれまで通り定期的に変更し、厳重に管理することを求められています。

ならば、ユーザがシステムにログインする場合と管理者がシステムにログインする場合で、扱える情報が同等の場合、本来であればユーザのパスワードは管理者と同様に定期変更を求める必要があるはずです。

国民のための情報セキュリティサイトでは、国民、つまり、例えばインスタを利用する国民は自分のアカウント情報だけにしかアクセスできないログインパスワードの定期変更は不要だと言っているに過ぎません。

インスタの登録者情報全件にアクセス出来るインスタのシステム管理者のログインパスワード(今時パスワードなんて使っていないと思いますが)はこれまで通り定期的な変更が求められます。

ならば、地方自治体の職員も、自分自身の服務管理システムなど、自分自身の情報にしかアクセス出来ないシステムのログインパスワードの定期変更は不要でも、何十万件、何百万件の住民情報にアクセス出来るシステムを利用する場合のログインパスワードの定期変更は絶対に必要なはずです。

しかし、世間では、「総務省の地方公共団体の情報セキュリティポリシーに関するガイドラインから、システムを利用する職員のパスワードの定期変更を求める規定が削除された」、という言い方をされています。

じゃあ、自分自身の情報にしかアクセス出来ないシステムのログインパスワードの定期変更は不要でも、何十万件、何百万件の住民情報にアクセス出来るシステムを利用する場合のログインパスワードの定期変更は絶対に必要なはずで、どちらもシステム利用者には違いないのに曖昧模糊とした課題がくすぶっているように思われます。

特権IDの定義に注目

総務省の地方公共団体の情報セキュリティポリシーに関するガイドラインでは、パスワードの定期変更が必要とされる「特権ID」とはサーバの起動や停止、アプリケーションのインストールやシステム設定の変更、全データへのアクセスなど、通常のID よりもシステムに対するより高いレベルでの操作が可能なID をいう。

と規定されています。

このなかで「全データへのアクセス」が出来るIDは特権IDとして取扱うこと、つまりシステム利用者IDでも住民情報を全件閲覧出来たり、出力が出来たりするなら、それは特権IDだということです。

今までは、システム利用者はパスワードの定期変更が必要、特権IDはパスワードの定期変更が必要、と規定されていたのが、今回の改訂では特権IDはパスワードの定期変更が必要、とだけ規定されているので、これまでの経緯を知らない人がそこだけを見るとガイドラインの意図が明確に分かります。

でも「システム利用者のパスワード定期変更は不要です」なんてどこにも書かれていないのに、システム利用者のパスワードを求める規定が削除された、ことを見て、システム利用者のパスワードをどうするかを考えてしまうと思い違いが起こります。

自分自身の情報にしかアクセス出来ないシステムのログインパスワードの定期変更は不要でも、何十万件、何百万件の住民情報全件にアクセス出来るシステムを利用する場合のログインパスワードの定期変更は絶対に必要と規定されているのに、自分たちは住民情報システムの管理者じゃなく職務上のシステム利用者だから、自分たちがシステムにログインする際のパスワードはこれからは定期変更不要でしょう?という誤解が生じるはずです。

総務省は特権IDのパスワードの定期変更が必要だといっている

「国は、総務省は、システム利用者のログインパスワードの定期変更は不要だといっている。」

いつまでもこのような表現をするのは誤解を生むばかりです。もうやめましょう。

 

規程を考える私たち情報セキュリティ担当者は、正しくは、

国は、総務省はサーバの起動や停止、アプリケーションのインストールやシステム設定の変更、全データへのアクセスが出来るIDのログインパスワードはこれからも定期的な変更を求めています

と、だけ理解するべきです。

システム利用者うんぬんではなく特権IDかどうかだけが問題です。

この真実をしっかりと捉えていないと、今後私やあなたの組織でパスワードに関するルールを見直す際に、全データへのアクセスが出来てしまうシステム利用者のパスワードも定期変更されなくなってしまうでしょう。

情報セキュリティマネジメント

こんな記事も一緒に読んで欲しい!

arisa

1万台以上の事務用端末がある組織の情報管理部門で情報セキュリティマネジメントを担当しています。私の実体験を交えながら情報セキュリティ対策を解説しています。

arisaをフォローする
arisaをフォローする
情報セキュリティ対策の真実

コメント