「パスワードの定期変更」はもう必要ない?
はじめまして、イノベーション開発部の大西と申します。
昨年10月に入社してから約半年、新しい環境や業務にもようやく慣れてきたところです。今後ともよろしくお願いいたします。
さて今回は、先日マイクロソフトが公開した、Windows 10の次期大型アップデート (1903) におけるセキュリティベースライン設定案の中で、「パスワードの定期的な変更を要求するポリシーを削除する」という内容が盛り込まれたというニュースをご紹介したいと思います。(ITmediaの紹介記事はこちら)
このポリシー変更は、ユーザーに定期的なパスワードの変更を強制すると、安易なパスワードを使いまわしたり、また忘れないように書き留めたパスワードが漏洩するなど、かえって多くのセキュリティリスクを引き起こすという研究調査を受けてのこととなります。
※本記事の執筆時点ではまだWindows 10の大型アップデート (バージョン1903) が正式公開されていないため、上記のポリシー削除がさらに変更される可能性がありますのでご注意ください。
以前はログインパスワードを定期的に変更して、パスワードが外部に漏洩しても使えないようにするという運用が一般的に良いとされてきました。しかし先に述べたような問題の指摘を受けて、近年では十分な長さと複雑さを持ったパスワード(英大文字小文字+数字+記号混じりで少なくとも10桁以上が良いとされる) を一度設定すれば、そのパスワードが外部に漏洩しない限り特に変更する必要はない、というのが新しいセキュリティの常識となりつつあります。
私自身の経験を振り返ってみても、ログインパスワードの定期変更が厳しく強制されていた環境では、当初どのようなパスワードを設定するかについて頭を悩ませていました。しかし結局はパスワードの基本部分を固定化し、その前後に文字を加えて新しいパスワードを作るというパターンを自分自身で決めてしまい、毎回の変更作業をルーチンワーク的に行うようになっていました。
このような状況には少なからず疑問を抱いていたので、この「パスワードの定期変更は不要」というセキュリティトレンドの変化については大いに納得できるものがあります。
また2019年現在ではこの他にも、以下のようなパスワード管理が新たに推奨されるようになってきています。
●パスワード管理アプリ等を用いて、各パスワードを適切に管理する。
●多要素認証や生体認証 (指紋認証など) と組み合わせることで、安全性をより高める。
●複数サービス間でパスワードを使いまわししない。(どこか1箇所で漏れたら全てが危険にさらされるため)
今年4月に内閣サイバーセキュリティセンター (NISC) が公開した『小さな中小企業とNPO向け情報セキュリティハンドブック』は、「無料でこのレベルのセキュリティ教本が出るのはすごい」と一部で話題となりましたが、こちらのハンドブックの方でも「パスワードの定期変更は基本的に必要なし」と説明されています。その他、上述したようなパスワードを安全に使うための心得や方法についても、より詳しく解説されています。
このハンドブックは情報セキュリティという幅広いトピックを扱うため、総ページ数168ページとかなりのボリュームになっていますが、本文はカラーイラストをふんだんに使い、初心者にも分かりやすくなるよう配慮した記述がなされています。興味のある方はとりあえずお手元にダウンロードしてみて (無料です!)、それからじっくりご覧になられてはいかがでしょうか。
このように情報セキュリティの分野は、日々生まれる新しい脅威に備えるだけでなく、以前は常識だった古い知識も常にアップデートし続ける必要があります。私共リーガルはこのような現状を踏まえ、情報セキュリティの最新動向を常に注視し、安全な製品を皆様にお使いいただけるように、日々努力を続けて参ります。
