変更不要といわれてもパスワードの定期変更が必要なシステムもある

以前に私が書いた記事(驚!パスワードの定期的な変更は間違いだったなんて!)を読んでくれた人の中には、これからはどんなシステムでもパスワードの定期変更は不要なんだと思われた人もいるでしょう。

驚!パスワードの定期的な変更は間違いだったなんて!
パスワードの定期的な変更は推奨されなくなりました。また複雑で奇妙な覚えられないパスワードよりも4つの単語を空白で区切った覚えやすいフレーズをパスワードにする方が安全であると言われています。

昨年夏にすでに私が記事に取り上げてから、今年になって遅まきながらようやく総務省もパスワードの定期変更について、考え方を明示したわけですが、以降マスコミの取り上げ方は、「何が何でもパスワード変更は間違いだった」というミスリードを生むばかり、事実私の職場でも「総務省がパスワード変更不要と言っているんだから、うちもさっさとパスワード変更させるのやめろよ」という声は多くなっています。

もちろん、個人が利用する事務処理PCのログインパスワードや、メーラーの送受信パスワードについては、順次パスワード変更を不要とするようシステム改修を予定しています。

しかし、全てのシステムでパスワード変更を不要とするわけではありません。

活字を見ただけの半端な知識を振りかざすのはとても危険です。

何が何でもパスワード変更は不要なわけじゃない

総務省の説明はとても稚拙で、業務で利用するシステムからパスワード変更を強制的に求められる事を反射的に嫌がる人に、都合の良い誤解を与えています。

なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。

これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです(※1)。また、日本においても、内閣サイバーセキュリティセンター(NISC)から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています(※2)。

(※1) NIST SP800-63B(電子的認証に関するガイドライン)
(※2) https://www.nisc.go.jp/security-site/handbook/index.html

総務省 国民のための情報セキュリティサイトより引用

パスワードを定期的に変更する必要はありません、という活字だけが目立ちますが、引用をご覧ください。

正しくは「パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになること」があるので、です。

つまりパターン化しないパスワードを設定するなら今まで通り定期的なパスワード変更を行うことに問題はなく、パスワードの使い回しと定期的なパスワード変更に明確な因果関係はありません。

定期的にパスワード変更すべきシステムもある

今後、個人的に利用するシステムやサービスはパスワードの定期的な変更を求めることはなくなるでしょう。

しかし、組織の顧客情報など、最重要情報であり、組織の一部の限定された人間だけが扱う基幹システムにおいて、ログインパスワードが一つしか設定されていない場合などはこれまで同様に定期的なパスワード変更が必須です。

人事異動、退職などで、組織が管理する最重要システムを取り扱う人間が変わっていくのに、同じログインパスワードのままにしておくと、どういうことが起こるのか、皆さんも予想出来るでしょう。

人事異動で最重要情報を扱う必要がなくなった人間が、これまで通り最重要情報を扱えることは、内部からの情報漏えいにつながりますし、目的外利用にもつながります。

退職した人間も同様です。退職し組織と無関係になったにもかかわらず、最重要情報にアクセスできるなんて、考えただけでもぞっとします。

このようなことを防ぐために、最重要情報を取り扱う基幹システムは、アカウント管理と併せて、少なくとも人事異動後にはログインパスワードの変更が必要となる場合もありますし、情報の重要度によっては、厳格なパスワード設定ルールに基づいて毎日パスワードを変更することを今後も求めて当然です。

人事異動のタイミングでのパスワード変更は、定期的なパスワード変更ではなく、人事異動によるパスワード変更だ、という見解があることを承知の上で、さまざまな理由によるパスワードの定期変更と捉えて書いています。

パスワードの変更が危険だという誤解

「パスワードを変更することが危険だと言われているのに、なんでうちはいつまでもパスワードの変更をさせるんだ」と社内のユーザーは文句を言います。

セキュリティレベルの向上を目的としたお願いには耳も貸さず、内規を知らなかったと無視する人たちも、自分が面倒だと思っていたことを、不要だと言ってくれたニュースだけには激しく反応し、鬼の首を取ったかのように、ネチネチと問い合わせてきます。

そこで私は、次のように丁寧に説明します。

総務省がパスワード変更は不要と言っているのは、米国政府機関が情報セキュリティ対策を実施する際の指針にしているNIST(米国国立標準技術研究所)の関連部門であるCSDが発行する文章(ドラフト版)のなかで取り上げられた「定期的なパスワード変更を求められたユーザーは、辞書にあるような単純なパスワードに変えたり、これまで使っていたパスワードの末尾に数字を足したりしただけの簡単な変更を行う傾向にあり、かえって安全性が低下する場合があるため、パスワードを変更するのはパスワード流出の恐れがある時だけにすべき」という内容が発端です。現在、我が組織では、事務処理PCのログインやメール送受信に用いるパスワードについて6ヶ月毎に変更をお願いしていますが、各システムの管理者は、辞書にあるような単純なパスワードに変えたり、これまで使っていたパスワードの末尾に数字を足したりしただけの簡単な変更は出来ないようにしておりますので、安全性が低下することはなく、差し迫った危険があるとは判断しておりませんので、安心してパスワードを変更してください。

こう回答して、理解出来ない人はいません。

都合の良い活字だけを捕らえ薄っぺらな知識しか持たず、よく考えもしないで問い合わせてくる人ばかりで、しっかり説明されると逆に恥ずかしいのかもしれません。

パスワードの変更は危険だと総務省が言っているぞ(面倒なこといつまでもやらしてんじゃねーよ)という小賢しい問い合わせには、「そんな事はとっくに分かっていて、危険じゃないパスワード変更をさせているんですよ。ね?うちは安心でしょ?」と説明されれば納得するしかないのです。

いきなり無かったことは出来ません

今後新たに導入するシステムは、ものによってはパスワードの定期変更は不要、パスワードの桁数は10桁以上という基準が適用されていくでしょう。

しかしこれまで運用してきたシステムについては、次期改修まで仕様変更をすることは困難であり、簡単に、今すぐにパスワード変更を求めず、パスワード桁数を10桁以上とするなんて不可能です。

15年にも渡り、安全だとされ、あらゆるシステムに組み込まれてきたパスワードの定期的な変更が、個人が利用するシステムやサービスにおいて、パスワードの定期変更を求めないようになるには、数年を要するでしょう。

それまでに、辞書にあるような単純なパスワードが使えたり、これまで使っていたパスワードの末尾に数字を足したりしただけの簡単な変更を受け付けたりするシステムやサービスがあるのなら、十分に注意する必要があるのは間違いありません。

コメント