やってはいけない⁉ パスワードの定期変更
パスワードの盗難対策として、「パスワードを書き留めたまま放置しない」「パソコンに保存しない」「人に教えない」の他に、「定期的にパスワードを変更する」をよく聞きますが…
パスワードの定期変更を要求すべきでない
パスワードが漏えいした場合、パスワードを定期的に変更していれば、被害を防ぐことができるため、2004年当時、総務省はパスワードの定期変更を推奨していました。
ところが2017年、米国国立標準技術研究所(NIST)は「電子的認証に関するガイドライン」の内容を改訂し、「サービスを提供する側がパスワードの定期的な変更を要求すべきではない」という発表を行いました。これは従来見解を180度覆す、歴史的な発表でした。とはいえ米国の政府系機関の電子認証に関するペーパーは、デファクトスタンダードであり、日本政府を含む各国政府は、自国のガイドラインを右へ倣えと変更していきました。
利用するWEBサービスによっては、パスワードを定期的に変更することを求められることもあります。しかし、新しいガイドラインでは下記の5条件を満たし、複数のサービスで異なるパスワードを設定している場合は、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出したりした事実がなければ、パスワードを変更する必要はありません。
- 名前などの個人情報からは推測できないこと
- 英単語などをそのまま使用していないこと
- アルファベットと数字が混在していること
- 適切な長さの文字列であること
- 類推しやすい並び方やその安易な組み合わせにしないこと
つまりパスワードを定期的に変更することで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方がむしろ問題ということです。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。さらに忘れてはならないことに、新たに提示された守るべき5条件のほかにも「紙に書き留めたまま放置しない」「パソコンに保存しない」「人に教えない」が、これまでと変わらずに徹底すべき内容です。
まとめ
現在、私たちはWEB上でID、パスワードを入力してログインし多数のシステムやサービスを利用しています。例えばネットバンクや大手ショッピングサイトなどでは、パスワードだけではなく、スマートフォンにワンタイムパスワードを送信して、なりすましでの利用を防止する二重、三重の対策が取られるようになってきました。しかし、システムやサービス側がどんなにセキュリティを強化しても、ユーザー側の意識が低ければ、インターネット犯罪はなくなりません。「パスワード変更は(要求)すべきでない」かどうかは、サービスサイトの考え方の問題ですが、実際には私たちの問題でもあるのではないでしょうか。
【参考サイト】
総務省 国民のため情報セキュリティサイト
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/
内閣サイバーセキュリティセンター
インターネットの安心・安全ハンドブック
https://security-portal.nisc.go.jp/handbook/index.html
パスワードの問題もそうですが、企業などでは文書からの情報漏えいが多い事実があり、ビジネスパーソンにとって文書の管理は非常に身近な問題ではないでしょうか。オフィスにある多くの文書については機密情報も含まれるため、セキュリティ対策が欠かせません。
文書管理に関しての課題解決や詳細についてお知りになりたい場合は、文書管理に関する様々なテーマや課題についてコンサルティングからシステム開発・運用に至るまで一貫したサービスご提供し、450社以上の実績がある日本レコードマネジメントへお気軽にお問い合わせくださいませ。