総務省がインターネットサービスで利用する「パスワード」に対する考え方を方針転換。従来常識とされていた「定期的に変更すべき」から「定期的な変更は不要」へと変更し、注意喚起をはじめています。
方針転換は2017年11月から行っていたそうで、頻繁にパスワードを変更することで「パスワードを作る際の文字列がパターン化して推測しやすくなったり、使い回しをするようになることで、不正アクセスのリスクが増すことのほうが問題」というのがその理由。定期的に変更するよりも、機器やサービスの間で使い回しのない、充分な強度の固有パスワードを使い続けることが求められるとしています。
これまでパスワードは、不正アクセスを防ぐための有効な手段として、定期的に変更するよう推奨されていました。しかし2017年にアメリカ国立標準技術研究所 (NIST) の発行するガイドラインで、サービス提供者がパスワードの定期的な変更を要求すべきではないと記載されたことを受け、「定期的な変更は不要」と方針転換。
日本の内閣サイバーセキュリティセンター (NISC) も、「パスワードの定期的な変更は必要ない」「流出時には速やかに変更」するよう案内しています。
パスワードを複数のサービスで使い回さない(定期的な変更は不要)
またパスワードはできる限り、複数のサービスで使い回さないようにしましょう。あるサービスから流出したアカウント情報を使って、他のサービスへの不正ログインを試す攻撃の手口が知られています。もし重要情報を利用しているサービスで、他のサービスからの使い回しのパスワードを利用していた場合、他のサービスから何らかの原因でパスワードが漏洩してしまえば、第三者に重要情報にアクセスされてしまう可能性があります。なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。
これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです(※1)。また、日本においても、内閣サイバーセキュリティセンター(NISC)から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています(※2)。
(※1) NIST SP800-63B(電子的認証に関するガイドライン)
(※2) https://www.nisc.go.jp/security-site/handbook/index.html
安全なパスワードはどう作ればいい?
パスワードの安全性を高めるにはどうしたらいいのでしょうか。NISC によれば、安全なパスワード設定は「英大文字と小文字、数字、記号を組み合わせた、少なくとも10桁以上の文字列」が望ましいとされています。
ただ NIST はパスワード作成ルールについても昨年改訂していて、大文字と小文字・数字・記号を組み合わせた文字の羅列(しかも短い)よりも、複数の単語を並べた長めのパスワード(少なくとも8文字以上)の方が安全だとして推奨しています。
