デジタルリスク総研は、デジタルリスクに関する研究を行い、その成果を社会に還元することによって、デジタルリスクを低減させることを目的とした研究機関です。MORE

定期変更は不要に、パスワードの最新トレンド

2018年04月12日

メールへのログインやネットバンキング、オンライン・ショッピングと、私たちに身の回りにたくさんのネット・サービスが溢れています。そして、常に頭を悩まされ続けるのが「パスワード」。 先日、「プライバシーマーク(Pマーク)」を発行する一般財団法人日本情報経済社会推進協会は、認定時の審査基準から、インターネット利用時のパスワード定期的変更を不要としました。
パスワードの定期変更は要?不要?パスワードの最新トレンドとは?

shutterstock_691352836

話題を呼んだ2016年のSHOULD NOT

幾度となく、繰り返されてきたパスワードの定期変更の「要・不要論」。ここにきて、「定期変更の必要なし」というのが大きなトレンドになっています。この議論に決着をつけたのが、米国立標準技術研究所(NIST)。同研究所が発行する「電子認証に関するガイドライン(NIST SP800-63)」の第3版への改訂議論の中で、『期限を区切って変更をする必要がない(SHOULD NOT)』としていることが2016年に明らかになりました。改定議論の際に出てきた「SHOULD NOT」は話題を呼びましたが、最終的に2017年6月に公開された電子認証に関するガイドライン第3版の付随書「SP800-63B:Authentication and Lifecycle Management」で、定期変更が必要とされないことが正式に記載されました。

参考:
「電子認証に関するガイドライン(NIST SP800-63)第3版」
「SP800-63B:Authentication and Lifecycle Management」
https://pages.nist.gov/800-63-3/sp800-63b.html(米国立標準技術研究所)

この議論を受けて、日本でも内閣サイバーセキュリティセンター(NISC)が2016年12月に公開した「情報セキュリティハンドブック」で、パスワードの定期変更は不要という方針を示しました。また、2017年にNISTのSP800-63Bが正式発行されたことを受けて、同年秋には総務省も定期変更を不要とする変更を随所で実施しています。もっとも分かりやすいのが、総務省の「国民のための情報セキュリティサイト」で『パスワードの定期変更』が不要と記載しています。こうした動きを受けて、今般、広く話題に取り上げられる流れに繋がっています。

参考:
「情報セキュリティハンドブック」
https://www.nisc.go.jp/security-site/news/ebook-handbook.html(内閣サイバーセキュリティセンター)
「国民のための情報セキュリティサイト」http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/privacy/01-2.html(総務省)

パスワード定期変更「要・不要論」は決着

これまで「パスワードの定期変更」はセキュリティ・クラスタでは幾度となく繰り返されてきた話題でしたが、これで一応の決着がついたと言っていいでしょう。ただし、注意は必要で「定期変更の必要はない」だけで、「定期変更をしなくてもいい」というわけではありません。例えば、パスワードが4桁の数字でしか設定できず、そのパスワードを複数人で共有するような環境では、定期的に変更する意義はあるでしょう。

パスワードの定期変更の必要がない環境としては次のようなものが考えられます。「英数記号が利用できる」、かつ「入力可能な文字数が多い」、「複数人で共有しなくても済む環境である」。こういう環境が増えた現在、従来のように、パスワードの逆に末尾に数字を付与して、変更タイミングに数字を1つ加算するような弱いパスワードを設定する習慣は、デメリットの方が大きくなり、推奨・強制する意義が薄れていきます。

定期変更の意義に対して、肯定派と懐疑派が存在し、全ての環境に対して明確に否定する層がいなかったのも、パスワードの「要・不要論」の議論が繰り返された背景にありますが、今回のアメリカに端を発した「定期変更の必要なし」はこれまでの議論に一定の決着をつけました。

パスワード作成時に気をつけること

『パスワードの定期変更』が不要というポリシー変更が話題になったことで、多くの組織でパスワード関連のルールが見直される可能性があります。その際に、複雑なパスワードを設定しなくても良くなると喜んで、簡単なパスワード(例:password12345)を設定してしまうと本末転倒です。

もちろん、覚えにくいパスワードを設定するのも意味がありません。例えば、行きつけの飲食店がある場合、パスワードを「私の好きな○○のオススメは××」と決めて、これをローマ字表記で記載するだけで、覚えやすく文字数も多いパスワードができあがります。このようにして、パスワード作成時に簡単な文字列を設定しないように、自分にあった作成ルールを検討してみてください。

定期変更以外にも、いくつか新しいトレンドが

パスワードの定期変更の不要以外で、今回の改定によるパスワードに関する、いくつかのトレンドを最後にご紹介しましょう。

(1)複雑な文字の組み合わせは不要

英字・数字・記号をそれぞれ最低1文字は利用して複雑な文字列を作成することは必要ではなくなりました。これは「seCr6t#」「P@ssw0rd」のような攻撃者が使用する辞書に掲載されている文字列を設定する可能性があるからです。

(2)入力可能な文字の制限撤廃

パスワードに設定可能な文字を制限しないこと。まだまだ多くのサービスで、パスワードに記号が使えなかったり、使えても特定の記号に制限されていたりします。これを少なくともキーボードで入力可能な英数記号は全て利用できるようにして、利用者に不要な制限を課さないことが目的です。

(3)文字数制限の撤廃

基本的に入力する文字数の最大値に制限を設けるべきではない。文字数に制限を設ける場合でも、64文字は入力できるようにガイドラインでは求めています。文字数が制限されていると、好きな単語を複数繋げてパスワードに設定することもできませんし、何より弱いパスワードを強制することに繋がるため、弱いパスワードを設定させない環境を整えることが目的です。ちなみに、パスワードの最小文字数は、6文字以上から8文字以上に増えていますが、これはコンピュータの処理速度の進化に伴って、少なくとも8文字以上のパスワードでなければ、簡単に解読されてしまうためです。

以上のようにパスワードに関するルールは時代とともに変わっていきます。これを機に使い回しているパスワードなどがあれば、一度見直してみることをオススメします。

03-6550-9281

お問い合わせ

  • 大阪06-6210-5017

デジタルリスク総研について

日本におけるSNSの利用率はここ数年増加の一途をたどり、2015年3月の調査では実に77%に至りました。企業もこれに比例してSNSをマーケティングに活用しようという動きが高まり、今日では既に一般的なこととなっています。ソーシャルメディアマーケティングは、話題の拡散、属性によるターゲティングや双方向のコミュニケーションといったマーケティングの多様性を生み出し、この成否が顧客エンゲージメントの獲得を左右するようになりました。

しかし、その一方で、ネット炎上件数もまた年々増加し、昨年は遂に1,000件を超え、企業としては、炎上させないSNSコミュニケーション術や、万が一炎上の火種が生じた際にどのように対応するかというリスク管理体制の整備が求められています。これは、ソーシャルメディアの活用を控えるという意味ではなく、ソーシャルメディアを有効に活用するための手段でもあります。

デジタルリスク総研は、2007年からソーシャルリスクマネジメントに着目し事業を行っている株式会社エルテスによって、ソーシャルリスク総研として、2016年2月に設立され、ソーシャルリスクを低減させることを目的とした研究機関として、ネット炎上等のソーシャルリスクに関する研究を行い、その成果を社会に還元してまいりました。そして、2016年11月にデジタルリスク総研と改称し、ソーシャルリスク分野に加えて、企業内部の不正や金融犯罪の検知をはじめとしたリスクインテリジェンス分野における研究を開始しました。このサイト上では、企業に役立つ実践的なデジタルリスクマネジメントについて、定期的に情報発信を行いますので、企業等のデジタルリスクマネジメントに是非ご活用ください。

※ 13歳以上の男女。(出典)総務省「社会課題解決のための新たなICTサービス・技術への人々の意識に関する調査研究」(平成27年)

運営者について

デジタルリスク総研は株式会社エルテス内にございます。
株式会社エルテスでは、次のような事業を行っております。お気軽にご相談ください。