総務省から「パスワードの定期変更は不要」と発表|安全なパスワード管理・設定方法を紹介

 

情報セキュリティの基本として「パスワードを盗まれないようにするためには、定期的なパスワードが必要」という考え方は長らく一般的でした。

しかし、パスワードの変更に関して、総務省が大幅な方向転換を発表したことをご存知でしょうか。情報セキュリティの考え方は時代とともに変わるものであるため、最新の情報をとらえておくことが重要です。

この記事では、パスワードの変更に関する現在の潮流の解説と併せて、安全な管理・設定方法などについて解説します。
 

■「パスワードの定期的な変更は不要」と総務省が発表

これまで、ドメインやワークグループといった企業内のネットワーク、またはインターネットのサービスにおいて、ID・パスワードを使って認証する際には、ネットワーク管理者やサービス提供者がパスワードの定期変更を要求するのが一般的でした。

例えば、「前のパスワードを設定してから90日が経過すると、ポップアップでパスワード変更の通知が表示され、7日以内に変更しないとロックされる」といったものです。

一例として、総務省の外郭団体である「独立行政法人 情報処理推進機構 （通称 IPA）」が、2012年に発表した「不正アクセス対策のしおり」という刊行物には、以下のような記載があります。

（引用元: http://www.yagasaki.co.jp/pdf/kdb05_fusei.pdf）

パスワードの盗難対策として、「紙に書き留めたまま放置しない」「パソコンに保存しない」「人に教えない」のほかに、「定期的にパスワードを変更する」があります。つまり、日本政府としての公式見解は、「不正アクセスを防ぐためには、定期的にパスワードを変更すべき」というものでした。

なぜ「不正アクセスを防ぐためには、定期的にパスワードを変更すべき」と考えられていたのかというと、米国国立標準技術研究所 （通称NIST） が数年に一度改定している「電子的認証に関するガイドライン」には、一貫して「パスワードは定期的に変更すべき」と記載されていたためです。米国の政府機関が発表するドキュメントが、事実上の電子的認証のセキュリティに関する世界標準となっており、日本政府を含む各国政府がこのガイドラインを参照に、自国向けのガイドラインを作っていました。

しかし、2017年6月に発表されたNISTの「電子的認証に関するガイドライン」の最新版には、「サービス提供者はパスワードの定期変更を要求すべきでない」という記載に180度方向転換されています。

米国のメディアはこの方向転換について、パスワードを定期的に変更させられるようになると「複雑なパスワードを作って覚えておく」よりも、「変更しても覚えていられる簡単なパスワード」を作りがちであるからという見解を示しています。

・参考リンク
世界の電子認証基準が変わる：NIST SP800－63－3を読み解く
 

NISTのガイドライン改定から約9ヵ月後の2018年3月に、日本でも動きがありました。総務省の「国民のための情報セキュリティサイト」の「安全なパスワード管理」にて、パスワード定期変更についての内容が変更されました。具体的には、以下のとおりです。

これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所（NIST）からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです（※１）。また、日本においても、内閣サイバーセキュリティセンター（NISC）から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています（※１）。
 

（※１） NIST SP800-63B（電子的認証に関するガイドライン）
（※２） https://www.nisc.go.jp/security-site/handbook/index.html
（引用元: https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html）

情報セキュリティの主たる担当官庁である総務省のホームページでの発表は、すなわち日本政府が公式に方向転換したことを示しています。

 

■日本政府の方向転換＝日本企業の方向転換

情報セキュリティ関連企業、ならび大規模なインターネットサービスを運営する企業などは、2017年6月にNISTガイドラインが改訂されたタイミングから、日本においてもパスワードの定期変更が推奨されなくなることを予見して、すでに対応を開始しています。

しかし、大多数の日本企業は「今になって定期変更が不要になったことを知った」ため、今後対応を行なっていくことになります。具体的には、自社のネットワークやドメインにログインする際に、パスワードの定期変更を行なわないよう設定変更する、または自社で運営しているインターネットサービスがあれば、こちらもユーザーにパスワードの定期変更を求めないようにプログラムを修正するといった具合です。

現在は、業務で利用するサービス・アプリケーション（アプリ）の相当数がクラウド型に移行しています。自社ですべてを管理することができないクラウド型サービス・アプリのパスワード管理を、どこまで自社で管理できるかという課題も投げかけられているのです。

 

■パスワードの安全な管理・設定方法とは？

安全なパスワードを設定し、適切に管理することはすべての企業に求められています。そのために気をつけるべきポイントとして、以下が挙げられます。
 

◇パスワードを複雑化する

パスワードを設定する際に最も重要なことは、パスワード自体の強度を高めることです。パスワードは本人以外が知らない情報ですが、強度が低いと意味がありません。例えば、「12345」のように数字を順番に並べるパスワードなどは本人以外も推測でき、簡単に突破されてしまいます。
パスワードを複雑化する際ためには、おもに次の点に留意して設定しましょう。

・大文字、小文字を含める
・数字を含める
・記号を含める
・できるだけ長い文字列にする
・既存の英単語などを利用しない

など
 

パスワードの長さは、これまで8桁以上が基準とされていましたが、近年では10桁以上にすることが推奨されています。テクノロジーの進歩により、8桁の場合はアルファベットと数字を組み合わせたものでも、1時間程度で解析されてしまうおそれがあるからです。​​​

安全なパスワードの設定方法については、こちらでも詳しく解説していますので、併せてご覧ください。

企業のパスワード管理の重要性について｜安全なパスワード管理方法やおすすめのシステムを紹介
 

◇同じパスワードを複数のシステムなどで使い回さない

クラウドサービスの利用が増えたことで、従業員一人ひとりがアクセスするシステム・サービスは非常に増えました。システム・サービスごとにパスワードの設定が必要なことから、パスワードを使い回すケースも多く見られますが、これは非常に危険です。

パスワードを使い回していると、仮にどこかのシステムから情報が漏れた際に、すべてのシステム・サービスで不正アクセスが行なわれる危険性が高まります。そのため、同じパスワードを複数のシステム・サービスで使い回さないことが重要です。

多くのパスワードを管理することは困難ですが、のちほど紹介するパスワード管理ツールを利用したり、「コアパスワード方式」を採用したりすることで管理しやすくなるでしょう。

コアパスワード方式は、一定の文字列をコアパスワードとして設定し、システム・サービスごとに定められた法則に従い文字列を追加することで、異なるパスワードとして管理する手法です。
例えば、次のようなイメージで運用します。

・コアパスワード：c#13jK9I
・Googleのパスワード：Goc#13jK9IOle
・ヤフーのパスワード：Yac#13jK9IHoo
 

この方式であれば、コアパスワードとルールだけを覚えておけばよいため管理しやすくなります。
 

◇紙に書いて保存・管理しない

パスワードを使い回さないとなると、パスワードを管理しきれなくなる可能性が考えられます。その際に、紙に書いて保存する方法をとる方もいらっしゃるでしょう。しかし、紙に書いて保存・管理することは、非常に危険です。

特に、付箋などにパスワードを書いてパソコンの周辺に保存している場合には、パスワードの意味がなくなってしまうため注意しましょう。紙に書いて保存・管理する場合には、対象の紙を鍵付きキャビネットに保管するなどの対策が必要になります。

これは、Excelファイルなどにパスワードを記載して管理する場合も同じです。その場合も、暗号化して第三者が閲覧できないようにする、といった工夫が欠かせません。パスワード管理においては、紙などに書かないことが原則だと覚えておきましょう。
 

◇パスワード管理ツールを使用する

どうしても管理しきれず、外部に出力して管理したい場合には「パスワード管理ツール」がおすすめです。パスワード管理ツールは、マスターパスワードを設定しておくだけで、さまざまなシステム・サービスのパスワードを一元的に管理できます。

パスワード管理ツールを使用すれば、マスターパスワードだけを覚えておくだけで済みます。なかには、パスワードを自動的に生成する機能を持つツールもあるため、煩雑なパスワード管理を効率化しつつ、利便性を保つことが可能です。

パスワード管理ツールについては、こちらの記事でも詳しく解説していますので、併せてご覧ください。

【Windows】パスワード管理の必要性とは？無料版と有料版の違いやおすすめのパスワード管理ツールを紹介

■パスワードを安全に管理する「トラスト・ログイン」は基本機能無料

「パスワードの定期変更を求めない」という点のみならず、企業の社内システムならび、企業で利用しているクラウドサービスのパスワード管理を包括的に行なう方法として、IDaaS (クラウド型IDパスワード管理サービス）が注目されています。

これまでは、クラウドサービスを利用する際、多くの場合はユーザーにIDパスワードの管理を任せることが多くありました。これにより、パスワードを持ったまま退職した従業員が、本来アクセス権限がないのに情報を閲覧・編集できてしまうという事態が多発しています。

こうした状況に対して、「従業員にIDパスワード管理を任せる部分」「企業側がIDパスワードを一元管理する部分」を明確にしてパスワード管理が行なえるのが、IDaaSです。
例えば、クラウドサービスであっても企業が求めるパスワードの強度を保たせたい、パスワードの使い回しをやめさせたい、という場合、従業員が利用するクラウドサービスのIDパスワードをシステム管理者が一元発行・管理できます。

この場合は、従業員に各クラウドサービスへのパスワードを知らせず、IDaaSへのログインパスワードのみを知らせます。この1つのパスワードで従業員は、IDaaS経由ですべてのクラウドサービス、また設定を行なった自社システムにもログインが可能です。IDaaSへのパスワードを複雑なものにして、このパスワードだけ覚えておけばよいという安全な運用が実現します。

とはいえ、各個人がそれぞれ取得したクラウドサービスのIDを使う文化、自社でそれらを一元管理することが難しい文化の企業もあります。例えば、エンジニア中心の企業で、すでに多くのアプリを従業員が独自に設定して利用しているような場合です。

こうした場合、エンジニアが過去に自身で登録したID情報をシステム管理者管理に移行するのは、抵抗されるためまず無理です。このような企業では、すでに利用されているクラウドサービスはユーザーが引き続き管理し、新規に導入するクラウドサービスのみシステム管理者が管理する、という管理体系をとることも可能です。

トラスト・ログインは、GMOインターネットグループで20年以上認証局事業を行なってきた「GMOグローバルサイン」が提供するIDaaSです。IDaaSの基本機能部分を、ユーザー数、アプリ数無制限で無料で提供しています。もし、「パスワードの定期変更を求めない」という変更にともない、貴社内のパスワード管理運用を見直したい場合は、ぜひトラスト・ログインをお試しください。

トラスト・ログインの詳細はこちらから

お問い合わせはこちらから
 

■まとめ

従来、パスワードには「定期的な変更が必要」とされていましたが、現在では180度方向転換し「定期的な変更は不要」とされています。もともと、パスワードを安全に管理するための方針でしたが、クラウドサービスの利用が増えた昨今では、かえって逆効果になってしまうおそれがあるため方針が変更されました。

さまざまなシステム・サービスを業務で利用する現在、パスワードの強度を高めて適切に管理することは、セキュリティ対策として非常に重要です。この記事で解説した安全なパスワードの管理・設定方法を参考に、パスワードの管理・運用方法を見直してみてはいかがでしょうか。