パスワードの定期変更は不要？

これまでパスワードを管理する上での基本とされていた事の一つに「定期的に変更する」が挙げられていました。ところがパスワードの変更に関して総務省が大幅な方向転換をし、「国民のための情報セキュリティサイト」において「実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。」としました。

http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/privacy/01-2.html

これより前、NISC（内閣サイバーセキュリティセンター）が2017年12月18日に発行した「ネットワークビギナーのための情報セキュリティハンドブック」においても、「パスワードの定期変更は必要なし。流出時は速やかに変更する」と書かれています。その理由としては、マルウェア等に感染したパソコンから情報が流出している場合には、原因を特定しないままパスワードだけを変更しても意味が無いから、とのことです。

https://www.nisc.go.jp/security-site/handbook/index.html

少し古い情報とはなりますが、総務省平成26年版情報通信白書では、パスワードの変更タイミングについて定期的に変更していると回答されたのは、

• 調査対象全体平均　14.3%
• フランス　20.2%
• 米国　　　19.2%
• 英国　　　18.6%
• 日本　　　 9.5%
• 韓国　　　 6.5&

と報告されていますので、日本では今回の影響は少ない、むしろ個人ユーザでは国のお墨付きを得てパスワードを変更しないと喜ぶ人も多いことでしょう。

それに対して問題となるのは企業ユーザです。2000年にリリースされたWindows 2000 Serverの新機能として盛り込まれた「Active Directory（AD）」は、これまで多くの企業に導入され企業内のユーザとコンピュータの管理が行われています。ADの機能の一つにパスワードの管理があり、企業内ポリシー（正確にはドメインのグループポリシー）によって「パスワードの長さ」「パスワードの複雑さ要件」「パスワードの履歴」とともに「パスワードの有効期限」を設定することができるようになっています。この見直しを行うかどうか、システム管理者としては悩ましいことでしょう。

とは言っても、パスワードの安全管理は「定期的な変更を求めない」だけではありません。「同じID・パスワードを複数のサービスで使い回さない」「推測されやすいパスワードは設定しない」「パスワードを紙に書いて管理しない」等はこれまでと同様に注意する必要があります。