情報セキュリティの「常識」を検証する(前編)

高木浩光氏が解説「パスワード定期変更は都市伝説」

2018.08.27 Mon連載バックナンバー

 情報セキュリティには「常識」とされるさまざまな対策・行動があります。しかし私たちが当たり前のように受け入れている常識の中には、実は「誤解」にもとづく対策・行動が混じっているのもご存じでしょうか。

 そんな情報セキュリティにまつわる「常識の誤解」を晴らすのが、情報セキュリティ分野の第一人者、国立研究開発法人 産業技術総合研究所の高木浩光主任研究員です。今回はパスワードに関する誤解について、高木氏が解説します。(取材/文/構成 ノーバジェット)

国立研究開発法人 産業技術総合研究所
情報技術研究部門 主任研究員 高木 浩光氏

名古屋工業大学大学院工学研究科博士後期課程修了。博士(工学)。名古屋工業大学助手を経て、1998年に通商産業省工業技術院(現・産業技術総合研究所)電子技術総合研究所に転任。2000年より、Webアプリケーションの脆弱性対策など各種ガイドラインの策定に関わる。現在は内閣官房内閣サイバーセキュリティセンター(NISC)情報セキュリティ専門指導官を兼任し、セキュリティ関連の評論活動も行っている。

 

パスワードの定期的な変更は不要?

 情報セキュリティ対策の基本中の基本といえば、ID・パスワードによるアカウント管理です。どの企業・組織もほぼ例外なく、従業員に対してパスワードをしっかりと自己管理することを求めています。

 そうした中、2018年3月に新聞やテレビで「総務省がパスワードの定期的な変更を促すことをやめた」と報じられ、話題になりました。これは総務省の「国民のための情報セキュリティサイト」に以下のような文言が追加されたことがきっかけでした。

 「利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます」

(総務省「国民のための情報セキュリティサイト」より引用)

 報道では「総務省が方針転換」とされていますが、事実は少し異なります。そもそも総務省あるいは政府に「パスワードは定期的に変更する」という方針があったわけではありません。上記の引用部分は、国民向けの啓発記事を改訂したものにすぎず、政府の方針や基準ではないのです。基準としては、内閣サイバーセキュリティセンター(NISC)の「政府機関の情報セキュリティ対策のための統一基準」にパスワード変更についての言及はあるものの、こちらも以前から定期的な変更を促していたわけではありません。

 では、なぜ「方針転換」と報道されたのでしょうか。世の中には「パスワードは定期的に変更するもの」という、いわば“都市伝説”があり、それがなかなか消えてなくなりません。一方で、変更の効果に疑問を持つ人たちも多かったのでしょう。総務省(政府)が方針転換したことにすれば、大きな影響力を持つことになるわけですから、結果としてよかったと思います。

 ちなみに米国では、国立標準技術研究所(NIST)が2017年6月に改定した「電子認証に関するガイドライン」において、管理者が利用者に対して必要もないのに独断的かつ定期的にパスワードの変更を求めることは、「SHOULD NOT」である(すべきでない)と明記されました。このことも総務省の啓発記事に影響を与えたようです。

 

「最悪のパスワード」を排除できているか

 パスワードの定期的な変更は、本当に必要のないことなのでしょうか。… 続きを読む

全文(続き)を読む

続きを読むにはログインが必要です。

まだ会員でない方は、会員登録(無料)いただくと、続きが読めます。

高木 浩光

高木 浩光

国立研究開発法人 産業技術総合研究所 情報技術研究部門 主任研究員

名古屋工業大学大学院工学研究科博士後期課程修了。博士(工学)。名古屋工業大学助手を経て、1998年に通商産業省工業技術院(現・産業技術総合研究所)電子技術総合研究所に転任。2000年より、Webアプリケーションの脆弱性対策など各種ガイドラインの策定に関わる。現在は内閣官房内閣サイバーセキュリティセンター(NISC)情報セキュリティ専門指導官を兼任し、セキュリティ関連の評論活動も行っている。

このページの先頭へ
Bizコンパス公式Facebook Bizコンパス公式Twitter