「パスワードの定期的な変更は不要」と方針変更されたのをご存知ですか?

2021/3/18 防災・防犯

フォローする



パスワード

サラリーマンの皆さんは、会社のパソコンで「定期的なパスワードの変更」を求められることが多いと思います。

また、インターネットバンキングを利用していると、同様に「定期的なパスワードの変更」を求められることが多いと思います。

このような頻繁なパスワード変更は、「パスワード疲れ」(略して「パス疲れ」とも呼ばれる)を起こすと言われています。

最近は「秘密の質問」を付け加えて二重のチェックをしたり、「ワンタイムパスワード」の利用を推奨されることも多くなって来ました。

1.「パスワードの定期的な変更は不要」に方針転換

(1)日本政府

ところが、2018年3月に総務省の「国民のための情報セキュリティサイト」の内容が変更され、次のような内容になりました。

「利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し、簡単なものになることや、使いまわしをするようになることの方が問題となります

(2)米マイクロソフト社

Microsoft社は、Windows10の次期大型更新となるMay 2019 Update(通称1903、または19H1)およびWindows Server1903におけるセキュリティベースラインで、「パスワードの有効期限ポリシー」を廃止しました。

2.パスワードの定期的な変更の危険性

パスワードの定期的な変更の危険性については、以前から各方面で指摘されています。

(1)アメリカのセキュリティー専門家

2016年8月の日本経済新聞は、「米連邦取引委員会(FTC)でチーフテクノロジストを務めるローリー・クレイナー氏がラスベガスで開催されたセキュリティー会議で、『パスワード定期変更という通説は、完全に間違っている』と述べた」と伝えています。

パスワードの変更を頻繁に求められると、一般の人は「小文字を大文字に変えたり」「パスワードの最後に文字を一つ加えたり」する変更にとどめたり、「以前使用したパスワードを使い回す」ことが多く、ハッカーにはこのような「変換」パターンは簡単に見破られるとのことです。

(2)アメリカ政府

2017年5月の「ニューズウィーク(日本版)」は、「アメリカの電子認証専門機関は、定期的なパスワード変更の推奨をやめると決めた。エンドユーザーもいずれ、代わりの新しい「パスフレーズ」を要求されるようになるはずだ」と伝えています。

アメリカの規格標準化団体である「米国立標準技術研究所」(NIST)が発行する「電子認証に関するガイドライン」新版から、ルールを変更するとしています。

なお、NISTは、定期的なパスワード変更を止める代わり、最低64文字でスペースも入れられる「パスフレーズ」を推奨するそうです。

フレーズ(短文)にすれば、長くても覚えやすく、桁数が多いので解読されにくいというメリットがあります。

3.厳重なパスワード管理が逆効果となった情報漏洩事件

(1)「複雑でランダムのパスワード」を記入した「メモ帳」を盗み見された

(2)「複雑でランダムのパスワード」を「暗記」していたが、「会社と個人で同じパスワード」を使用していた

(1)のケースは、会社に不満を持っていた同僚社員に盗み見されて、会社情報漏洩事件に発展したもので、(2)のケースは、いずれかのWebサイトから個人情報やパスワードが盗み出されたものです。

4.我々の対応方法

では、我々はどのように対応すればよいのでしょうか?

私の知る限りでは、ネットバンキングでは、トークンなどを使った「ワンタイムパスワード」の利用を要求する金融機関が多くなっています。これが一番安全・安心だと思います。

パスワード以外に「秘密の質問」を重ねて行う金融機関もあります。

しかし、今のところ「パスフレーズ」を求めてくる金融機関やインターネットサイトはありません。

(1)悪いパスワードと良いパスワード

①悪いパスワード(最近は、設定の時点で拒絶されることが多いと思います)

・電話番号、郵便番号、自動車の番号

・生年月日

・社員番号

②良いパスワード

・名前などの個人情報は使用しない

・英単語などをそのまま使用しない

・アルファベットと数字が混在

・適切な長さの文字列

・類推しやすく安易な並べ方にしない

(2)パスワードの保管方法

全く意味を持たない無機質なパスワードを常に複数暗記していることは困難で、やむを得ずメモやUSBなどに残している人は多いと思います。

そんな場合も、パソコンや端末とは別の場所に保管して管理するのが大前提ですが、できれば鍵のかかる机や金庫に保管するのが望ましいと思います。

(3)信頼性の高いウィルスソフトの最新バージョンの使用

ウィルス対策は、ハッカーとのいたちごっこのようなものですが、やはり信頼性の高いウィルスソフトの最新バージョンを使用することをお勧めします。

ちなみに私は、トレンドマイクロ社の「ウィルスバスタークラウド」を使用しています。そして「デジタルライフサポートプレミアム」というのに入っています。これだと年中無休・24時間対応なので、何か不審なことがあった時、サポートしてくれますので安心です。電話・メール・LINEのいずれでも対応してくれます。パソコンやスマホの設定や操作に関する質問にも対応してくれます。

なお、二つ以上のウィルスソフトをインストールすることは、逆効果になるので注意が必要です。

よく、インターネットバンキングをしていると、ウィルスソフトの導入を勧奨するメッセージが出てきますが、現在すでにウィルスソフトをインストールしている場合、新たに別のウィルスソフトをインストールすると、ウィルス対策が強化されるのではなく、ソフトがお互いに「バッティング」して逆効果になりますので、避けてください。