総務省が「パスワード変更」について方針転換し、話題になっている。

パスワードは定期変更不要に転換

総務省国民のための情報セキュリティサイトには現在、「パスワードの定期的な変更は不要」と書かれている。

これまではパスワードの定期的な変更が推奨されていたが、2017年に米国国立標準技術研究所(NIST)がガイドラインで「サービス提供側がパスワードの定期的な変更を求めるべきではない」という旨を示したそう。

内閣サイバーセキュリティセンターNISC)も情報セキュリティハンドブックで「パスワードの定期変更は必要なし」と説明している。

定期変更を推奨していた理由は?

なぜ、これまでは「パスワードの定期的な変更」が推奨されていたのか。

情報処理推進機構(IPA)のホームページには、「パスワードの奪取・解析に成功したクラッカは、所有者に知られないようシステムを使い続けていることが通例で、定期的にパスワード変更することで、奪われたパスワードを無効にする狙いがある」と書かれている。

不正アクセス被害は目に見えないものが多いため、万が一に備えた対策の1つとされていた。

「大きな効果はない」と調査結果

しかし、パスワードの定期変更の効果を疑う声が国内外で上がっていた。

日本ネットワークセキュリティ協会の2015年のメルマガには、パスワードの変更回数と不正ログインされる確率を調べたところ、パスワードの変更回数を多くしても対策効果は大きく増えないという調査結果が掲載。

2017年には、米国の電子認証専門機関「米国立標準技術研究所」が定期的なパスワード変更を推奨していたガイドラインを変更した。

むしろ、定期変更により「パスワードパターン化した簡単なものになる」「使いまわす」といった問題が発生しており、それよりもパスワードの文字数や文字種を増やす方が不正ログインされる確率を下げることができるという。

ネット上「やっと」「広まって」

方針転換を受けて、ネット上にはさまざまなコメントが寄せられている。

やっとパスワードの定期変更は意味がないに変わるのね
Googleとかはずっと前からそれだよね

てんちょー (@tentyo1112) 2018年3月26日

パスワードの定期的な変更が「非推奨」と総務省として発表されたのは大きい。これで社内や国内サービスの拠り所に変更が入れやすくなる。
社内合意を得やすいという意味で。
— yamk (@yamk) 2018年3月26日

定期的にパスワード変更させられるの本当に苦痛だからはよ広まって

— HAMA (@HAMA_rengoku) 2018年3月27日

パスワード強制定期変更と秘密の質問は法律で禁止して欲しい
AndroPlus (@AndroPlus_org) 2018年3月26日

職場のパスワード定期更新ルール、会社の情報機器運用規定で定義してあるケースもあるんでルールの即時変更難しいところもあるんだよねえ。某拝承さんところもそんなんだった気が

— TOY@転職しました (@pseudo_toy) 2018年3月26日

パスワード定期変更がNGになった代わりにパスワード長が32文字以上とかになったら嫌だな。
Takashi (@tks310) 2018年3月26日

「ようやくここまで来た」と喜ぶ声があるが、「企業などに浸透するには時間がかかりそう」という指摘もあった。

英大小文字+数字+記号で10桁以上

総務省によると、安全なパスワードの作成条件は「名前など個人情報から推測できないこと」「英単語などをそのまま使わないこと」「アルファベットと数字が混在していること」「適切な長さの文字列であること」「類推しやすい並び方や、安易な組み合わせにしないこと」。

内閣サイバーセキュリティーセンター(NISC)は、「ログインパスワードは、少なくとも“英大文字小文字+数字+記号で10桁以上”」を安全圏として推奨。また、「より長くして安全性を高めることにこしたことはない」と説明している。

総務省が「パスワードの定期変更は不要」に転換!安全性を高めるパスワードの作り方は?