長らく日本をはじめ世界中で、システムへのログインパスワードは複数の文字種を用いた複雑で意味不明な文字数の多いものを3ヶ月ごとなど定期的に変更することが求められてきました。
日本の教育機関や規模の大きな企業、公共団体でも、情報システムのログインパスワードは定期的に変更することと内規で定められているでしょうし、一部のwebサービスにおいても、一定期間経過したログインパスワードは変更するよう案内されてきました。
定期的なパスワード変更は推奨されなくなった
しかし、驚くことに現在は、定期的なパスワード変更は推奨されなくなりました。
米国政府機関が情報セキュリティ対策を実施する際の指針にしているNIST(米国国立標準技術研究所)の関連部門であるCSDが発行する文章(ドラフト版)のなかで取り上げられた「定期的なパスワード変更を求められたユーザーは、辞書にあるような単純なパスワードに変えたり、これまで使っていたパスワードの末尾に数字を足したりしただけの簡単な変更を行う傾向にあり、かえって安全性が低下する場合があるため、パスワードを変更するのはパスワード流出の恐れがある時だけにすべき」という内容が発端です。
そこで日本国内の事情を確認したところ、IPA(独立行政法人 情報処理推進機構)、一般社団法人 JPCERT コーディネーションセンター、J-LIS(地方公共団体情報システム機構)など主な機関でも、すでにパスワードの定期変更について言及することをやめており、これまでのパスワード定期変更是非の議論にも一定の方向が示されたと言えます。
これまで正しいと思われ当然のように求められてきた情報セキュリティ対策が間違いで、実は真逆の対策が正しかったということが、国家レベルへの影響力を持つ機関から発表されるなど例がなく、長く情報セキュリティマネジメントに携わってきた人は戸惑いを隠せないと思いますので、パスワードはなぜ定期的に変更するなと言われるようになったのか、以下に参考になる事情をまとめました。
犯罪者はパスワード変更の傾向を知っている
定期的なパスワードの変更を強制的に求められると、多くのユーザーは以前のパスワードを繰り返し使うパターン化を行ったり、あるいは大文字を小文字に変えたり、パスワードの最後に文字を追加したりするだけの変更を行う傾向があるとアメリカのノースカロライナ大学の研究チームは発表しています。
多くのユーザーが、このようなわずかな「変換」しか実施しないことを犯罪者はよく知っていて、予想可能な簡単な変換を、自分のプリグラムやパスワード解読の手順に組み込んでいます。
つまり、ユーザーに定期的なパスワード変更を要求すれば、結果的にはパスワードの安全性が低下することが最近になって明確になってきました。
パスワードの定期変更手順の考案者が自ら過ちを認める
じつはパスワードの定期変更手順を最初に公表したのもNISTです。
NISTに勤務していた2003年にインターネットサービスで利用するアカウントを守る為の方法として、パスワードに大文字や数字、記号を混ぜ込み、一定期間ごとに変更するよう勧めるルールをまとめた本人が、「世界中で使われるようになったこのルールは結果的に間違いであり、ユーザーが本当に利用するべきは覚えやすく長いパスワードで、パスワードを変更するのは、パスワードが流出した恐れのある時だけだった」と、自らの考えが誤りだったことを認める告白をしたと、ウォールストリートジャーナルは報じています。
NISTではこのルールはすでに改訂され、現在ではパスワード期限に対するアドバイスはなく、疑問符や感嘆符など特殊な文字の使用も必須としていませんが、およそ15年にわたって正しいと思われてきた昔のアドバイスは、連邦政府機関にとどまらず日本はもちろん世界中の企業のネットワーク、モバイル機器、Webサイトなど広範囲に浸透し、それが実は誤りだったと世界中に行き渡るには相当の時間が必要とみられています。
4つの単語の方が大小文字・数字・記号を用いるより強固である
複数文字種を用いた奇妙で覚えにくいパスワードよりも、単語を4つ並べた長く覚えやすいパスワードの方が犯罪者には解読されにくいことも分かってきました。
文字数が多く空白で区切られている方が、それより少ない数字・文字・記号を並べたものより解読が難しくなるためです。
4つの単語を空白で区切ったフレーズを1つの単語に見立てたパスワードを破るには550年かかるが、典型的なパスワードの一例である、rT0bud4o&r3などは3日で破られる可能性があるというアメリカでの検証結果もあります。
複雑で覚えにくいパスワードを定期的に変更する時代は終わりを迎える
以上のような状況とCSDが発行する文章(ドラフト版)により、複雑で覚えにくいパスワード定期変更を要求する時代は終わりを迎えそうです。
マイクロソフトなど以前はNISTのパスワード規則を採用していた大手IT企業も、現在はパスワードの定期変更は強制しなくなったとのこと。
実際の運用面においても、パスワードを2ヶ月で変更しようが6ヶ月で変更しようが、期間の設定に確たる意味はなく、毎日必ず変更するなら有意でしょうが、次の変更期日まで絶対に安全だという保障はありません。
変更間隔が12ヶ月だと何故ダメなのかも明確に説明出来る材料もなく、ただ内規にそう定めてあるから、という理由だけしかなく、私達マネジメントをする側の人間にとってもユーザーに不便を強いてでも本当にパスワードを定期変更する必要があるのか疑問を感じていました。
よって、今回のように、不便なセキュリティ対策が不要であると明確な指針が示されたことは、ICTの利活用を推進するうえでも大変有意義なことです。
絶対にパスワードを変更するなという意味ではない
最後に、この記事を読んでパスワードの変更は絶対にするなという意味に誤解しないでください。
あなたが利用しているサービスの提供元が情報流出事故を起こし、あなたのパスワードも漏洩被害に遭った場合や、誰かがあなたに成りすましてSNSやクラウドサービスを悪用する恐れがある場合は当然速やかにこれまで使っていたパスワードを変更すべきです。
他にも、組織の重要機密を扱う基幹システムのログインパスワードが利用者ごとに管理されているのではなく、一つの共通パスワードを設定してあるだけなら、少なくとも人事異動後にパスワード変更すべきです。
また8文字未満の簡単なパスワードを使っていたり、複数のシステムやサービスで同じパスワードを使いまわしたりしているなら、この機会に、サービスごとに異なる長くて覚えやすいパスワードに変更することをお勧めします。

