KNOWLEDGE - COLUMN ナレッジ - コラム

【エバンジェリスト・ボイス】改めて「パスワードの定期的な変更」を考える(前編)

サイバー・セキュリティ・ソリューション(CSS)部
エバンジェリスト 内山 史一     uchiyamafacephoto_159x159

こんにちは。CSS部 エバンジェリストの内山です。

GWが明け、休暇中に生活リズムが崩れた方もそろそろ日常のリズムを取り戻した頃でしょうか。
私の場合、いつもの週末と何ら変わりのない日常を過ごしていたためか順調に「職場復帰」することができました。
この時期、一般的には心なしか「ブルーな気持ち」を引きずってしまうケースもあるようですが、心身ともにリセット・リフレッシュする時間と機会をつくって乗り切っていきたいですね。

さて、ここからが本題です。
2019年4月24日、Microsoft はWindows10の次期大型アップデート「Windows 10バージョン1903」(19H1) および「Windows Serverバージョン1903」のセキュリティベースライン(Draft版)を公開しました。 [1]
このセキュリティベースライン(Draft版)において、パスワードの定期変更を促していたポリシーの廃止が盛り込まれました。
この公開情報の中で、Microsoft はパスワードに有効期限を設定し定期的に更新させるポリシーは時代遅れである、という考え方を示しています。
なお、「Windows 10バージョン1903」(19H1) および「Windows Serverバージョン1903」からパスワードの定期変更機能がなくなったわけではなく、従来どおりパスワードの有効期限を設けて、定期変更運用をすることは可能です。

パスワードの定期変更が不要であるとの見解は、2018年3月に総務省、そして、それに先立つこと2017年6月に米国国立標準技術研究所(NIST)から示されていますが、「パスワードの定期変更は不要」というメッセージだけを鵜呑みにしてしまうと、かえってセキュリティリスクを高めかねません。
そこで、本エントリーでは総務省およびNISTの公開情報をもとに、前・後編2回に分けて改めてパスワードの定期変更について考えてみたいと思います。


【総務省の見解】
総務省は、「国民のための情報セキュリティサイト」[2]において、企業・組織におけるパスワードは、ユーザ名と組み合わせることで企業・組織内の情報資産へのアクセスの可否を決める重要なものであること、ならびにパスワードの重要性を再認識して、適切なパスワード管理を心がけるよう呼びかけています。
同サイトに記載されている、適切でかつ安全なパスワード管理の概要を紹介します。

部品1_パスワード定期変更_838x975
出典:総務省「国民のための情報セキュリティサイト」 [2]

●安全なパスワードの作成
 安全なパスワード:他人に推測されにくく、ツールなどの機械的な処理で割り出しにくいもの

 <<安全なパスワードの作成条件>>
 (1) 名前などの個人情報からは推測できないこと
 (2) 英単語などをそのまま使用していないこと
 (3) アルファベットと数字が混在していること
 (4) 適切な長さの文字列であること
 (5) 類推しやすい並び方やその安易な組合せにしないこと

 例えば悪い例として、以下のようなものがあります。

  ・名前と生年月日の組み合わせ
   例:2000年4月1日生まれのID太郎さん
     →idtaro20000401

  ・辞書に載っているような一般的な英単語
   例:baseball、soccer、password、tokyo

  ・文字の繰り返しや分かりやすい並びの文字列
   例:11111、12345、qwert

●パスワードの保管方法
 ・他人に知られないよう、かつ自分でも忘れてしまうことがないよう管理する
 ・メモを作成した場合、他人に見られることのないよう、厳重に保管する

 作成したパスワードが安全な条件を満たしていても、パスワードのメモをPCのモニターに貼り付けるといったことをしていては意味がありませんね。


●パスワードを複数のサービスで使い回さない(定期的な変更は不要)
 ・パスワードはできる限り、複数のサイトで使い回さないようにする

  なお、パスワード変更については、同サイトに以下のように記載されています。

部品2_パスワード定期変更_1027x226
出典:総務省「国民のための情報セキュリティサイト」 [2]

これを見る限り、「パスワードの定期変更は不要」といった強いニュアンスではなく、サービス提供者に「パスワードの定期変更を強いることはやめる」という意図があるように思えます。
パスワードの定期変更によって、不正なパスワード解析を防ぐメリット(リスク回避できるケースは限定的)よりも、利用者が類似のパスワードを使いまわしたり、単純な文字列や少ない桁数の安易なパスワードを設定するといったデメリットの方が大きいと言える中、セキュリティリスク低下の回避を期待できる内容だと思います。

●パスワードの活用
 ・OSのスクリーンセーバーでパスワード入力を促す設定をする
 ・離席時にログアウトする等、利用者が自発的にロックする


改めて見てみますと、当たり前のように思えますが、「パスワードは、安全なものを作成・厳重に保管・使い回さない」といった大前提があって、そのうえでパスワードの定期変更の不要論が成り立ってくることが分かります。
ちなみに、昨年3月に同サイトにてパスワードの定期変更に関する記載が公開された以降、メディア等で総務省が「方針変更」といった主旨の記事を幾つか見ましたが、同サイトは情報セキュリティの知識取得や情報セキュリティ対策を講じるための基本情報という性質のもので、法律のような強制力はありません。

「パスワードの定期変更は不要」という言葉に流されず、前提となる要件やシステム固有の要件といった自組織の状況をふまえ、サービス提供者と利用者双方の観点で、どのように対応していくか検討する材料にすべきものだと思います。


次回、後編では米国国立標準技術研究所(NIST)のガイドラインを中心にパスワードの要件についてお話を進めようと思います。
それでは、次のエントリーでお会いしましょう!


------------
脚注および参考情報

[1] Security baseline (DRAFT) for Windows 10 v1903 and Windows Server v1903
[2] 総務省 国民のための情報セキュリティサイト
 

当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。

エバンジェリストによるコラムやセミナー情報、
IDグループからのお知らせなどをメルマガでお届けしています。

メルマガ登録ボタン

内山 史一

株式会社インフォメーション・ディベロプメント 先端技術部 エバンジェリスト

この執筆者の記事一覧

関連するナレッジ・コラム

どのインスタンスを選べばいいの?EC2性能比較!

AIがプログラミングする時代の到来!?

残された攻撃の痕跡を追え! ~スレットハンティングのススメ~