1. まとめトップ
  2. ニュース・ゴシップ

総務省が180度転換。パスワードの定期的変更は「不要」らしい

色々なシーンで求められるパスワード。この度総務省が今までの「定期的に変更する」という考えを180度変え、定期的な変更は不要との通達を出しました。

更新日: 2018年03月29日

13 お気に入り 41760 view
お気に入り追加

この記事は私がまとめました

信頼のおける情報を元に作成しています。

■パスワード

パスワード(英: password)とは、一般的に合言葉(あいことば)を指すが、特にコンピュータ関連で使用する場合は、特定の機能を使用する際に認証を得るため入力する文字及び数字の羅列を指す

利用者本人であることを証明するための秘密の文字列

ログインする際にご入力いただくパスワードです。半角英数記号を組み合わせ、32文字以内でご設定いただくもの

■セキュリティーを守るために非常に重要

異なった使用権限を与えるためには、個々のユーザーを判別できなければなりません。そのため、ネットワークやデータベースの管理者は、それぞれの利用者ごとに個別のユーザーアカウントを設定します。

認証の仕組によって、ネットワークや情報機器を利用する際に、利用する権限のない第三者の利用を防止します。

他人に自分のユーザーアカウントを使用されてしまうと、本来は使用権限が与えられていないユーザーがネットワークに接続できるようになったり、データベースから不正に情報を抜き出したりする

■そのパスワードだが、最近まで「定期的に変える」ことが推奨されていた

セキュリティ対策を行っている会社で働いているのであれば、「パスワードを定期的に変更する」はお決まりのフレーズ

多くの組織がユーザーにパスワードの変更を強制しています。長い間、それがセキュリティーの「ベストプラクティス」だと考えられてきたから

ネットサービスでは「アカウントの安全性を保つために、パスワードの定期的な変更をオススメします」という注意書きが記されている

■しかし、そんな考え方が180度覆された。総務省が「定期的に変更する必要なし」との呼びかけ

総務省は、変更のしかたによってはかえって不正アクセスを受けやすくなるとして、安全なパスワードの場合は定期的に変更する必要はないと、呼びかけの内容を改めています

総務省のサイトだけではなく、内閣サイバーセキュリティセンター(NISC)でも、パスワードの定期変更は否定していて、流出時に速やかに変更するという対応が正しいとされている

変更は3月1日に行われ、総務省の指針としてパスワードの「設定と管理のあり方」を改定し、以下の様にパスワードの管理に関して記載を変更した

■変更した理由は何なのか?

むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題

少ない字数で覚えやすい語句を使ったり、変更前と似た語句を使ったりするようになり、他人が類推しやすくなる

パスワードの変更回数と不正ログインされる確率を調べたところ、パスワードの変更回数を多くしても対策効果は大きく増えないという調査結果が

■米国立標準技術研究所(NIST)の方向転換に同調したと思われる

米国立標準技術研究所(NIST)が2016年までに従来の方針を転換したことを受けて内閣官房の内閣サイバーセキュリティセンター(NISC)がこれに同調

まったく新しいパスワードを作るよう求めても結果はあまり変わらない。ハッカーはどちらのパスワードでも容赦なく解読してくる。つまり、パスワードの変更はハッカーよりユーザーに不便を強いる。

複雑なパスワードの強制と同様、定期変更の要求はメリットよりもデメリットが多かったのだ。

1 2