IT Admin Blog>パスワードの定期的な変更は逆効果? パスワードの安全性を高めるためにやるべきこと
パスワードの定期的な変更は逆効果? パスワードの安全性を高めるためにやるべきこと

パスワードの定期的な変更は不要?

長らく、パスワードの定期変更は不正アクセスを防ぐ有効な手段とされてきました。しかし、2016年頃から米国ではパスワードの定期変更を要求しない方が良い、という意見が出され、日本でも、2018年に総務省から「定期変更は不要である」との指針が示されました。
これまで有効な手段とされてきた定期変更が、「不要」と言われるようになった背景には、「パスワードの定期変更がむしろリスクをもたらす」と看做されるようになったことが挙げられます。
頻繁にパスワードの変更を求められると、覚えやすいパスワードにしたり、変更前と似た語句を使用してしまうことがあります。覚えやすいパスワードは、他人が類推しやすくなり、安全性が損なわれてしまうのです。安全性の低いパスワードに変更してしまうリスクを避けるために、むしろパスワードの定期変更は必要ない、と言われるようになったのです。
ちなみに、パスワード管理ツールを提供するNordPassは、よく使われるパスワードランキングを毎年発表しています。
こういった、わかりやすいパスワードや生年月日など類推攻撃(パスワードを推測して攻撃を行う手法)に弱いパスワードはリスクが高いと言わざるえません。

パスワードの安全性を高めるためにやるべきこと

安全なパスワードとは、他人に推測されにくく、ツールなどの機械的な処理で割り出しにくいものを指します。では、安全なパスワードを作成・運用していくためのガイドラインはどのようなものなのでしょうか。以下では、内閣サイバーセキュリティセンターが発行している「インターネットの安全・安心ハンドブック」(以下、NISCハンドブック)で示されているパスワードポリシーについてご紹介します。

NISCハンドブックのパスワードポリシー

パスワードに用いるのは英大文字小文字+数字+記号の88種類の文字・記号。これらの文字・記号を用いて、10桁以上の長さにすることが推奨されています。
さらに、機器間でのパスワードの使い回しは絶対にしないこと。似たパスワード、法則性が透けるパスワード (例えば、A銀行の口座パスワードはP@SS01、B銀行の口座パスワードはP@SS02…というような法則があるパスワード) も危険とされています。
加えて、パスワードの管理についても、「パスワードを使用するデバイス・デスクの近くにパスワードやパスワードのヒントを置く」ことや「Webブラウザの自動入力機能にパスワードを記憶させる」という行為が危険とされてい ます。パスワードの管理には、手帳やノートを使用するか、パスワード管理ツールを利用しましょう。
パスワードを忘れた場合の「秘密の質問」にも注意を払う必要があります。正直に自分の個人情報を質問の解答にしてしまうと、悪意を持った第三者が、SNSなどを通じてあなたの個人情報を割り出してし、不正なログインに成功してしまうかもしれません。「秘密の質問」にはできる限り個人情報とは関係ない解答を用意し、それを記憶するようにしましょう。
例)「母親の旧姓」 → あめりかがっしゅうこく
また、パスワードの定期変更は必要ありませんが、パスワードが流出した恐れがある場合は、直ちにパスワードの変更を行いましょう。

複雑なパスワードを簡単に生成、記録できるパスワードマネージャを使いましょう

最近のウェブブラウザーには、パスワードを生成したり、保存してくれる「パスワードマネージャー」機能を提供しているものが多くあります。例えば、Google Chromeのは以下のようなパスワードマネージャーを搭載しています。
パスワードマネージャーによって保存されたパスワードは簡単な操作で確認することができます。従ってパスワードを記憶させたパソコンやスマートフォンは他人からのアクセスを防ぐことが重要です。端末に設定するパスワードや暗証番号は他人から容易に推測されないようにするとともに、目を離した隙に乗っ取られないよう自動ロックを設定しましょう。また、ソフトウェアやOSをこまめにアップデートする、不審なサイトやアプリを利用しないなどの心がけも重要です。もちろん、自分以外の人が使う可能性のある端末(インターネットカフェや学校の共有パソコンなど)にはパスワードを覚えさせてはいけません。
法人・組織での利用では、さらに注意が必要です。会社で利用している 業務アカウントのIDとパスワードを個人のGoogleアカウントでログインしているGoogle Chromeブラウザに覚えさせてしまうと、個人で使っているパソコンやスマートフォンに同期されてしまい会社のアカウント情報が私物の端末を経由して漏洩する可能性があります。
また、退職する際に後任者に引継ぎせずにパスワードを削除してしまったり、、逆に退職時にパスワードを削除しないことで退職後も会社のアカウントを用いて機密情報にアクセスできてしまうリスクもあります。
こうした事態を回避するために、会社・組織では適切にブラウザを管理し、ブラウザ内蔵のパスワード保存機能をオフにした上で、Keeperなど法人向けに特化したパスワードマネージャーのご利用をお勧めします。

まとめ

10年前までは、パスワードの定期的な変更は割と当たり前の対策でした。しかし、サイバー犯罪も高度化していく中で、より実効性の高い対策として、根本的に難しいパスワードを利用することが重要になってきております。
ぜひ、これを機会にご利用されているパスワードを見直されてみては如何でしょうか?