1.はじめに
本年3月、総務省はこれまで推奨してきた「パスワードの定期変更」について、一転して「不要」「望ましくない」とする見解を示しました。この方針転換は世間の注目を集め、主要なマスコミでも報じられました。たとえば、当時の新聞各紙で報道された標題は以下の通りです。
- 日経新聞:パスワード「頻繁に変更はNG」 総務省が方針転換(*1)
- 朝日新聞:パスワード「定期変更は不要」国が方針一転 「簡単な文字列になりがち」(*2)
- 産経新聞:ヤフーがパスワードの定期変更求める記載削除へ 総務省も安全なもの前提で呼びかけ(*3)
このように、パスワードの定期変更が一様に「不要である」という認識を持ちがちですが、必ずしもそうではないということに注意が必要です。今回の「SPNの眼」では総務省の見解を踏まえつつ、「パスワードの定期変更」の要否について昨今の動向を振り返りながら、「不要」とされた陰に隠れた例外を検討してみたいと思います。
2.パスワードの定期変更をめぐる推移(推奨から非推奨へ)
パスワードの定期的な変更は、つい最近まで日本だけでなく世界中で推奨されてきました。日本の多くの事業者でも、ICTサービスや業務システムのパスワードを定期的に変更するようルールが定められてきました。ネット銀行やネット証券、ECサイトなどでも、パスワードを設定して一定期間が経過すると、変更を促されることがあります。
このようなパスワード定期変更の「風習」がいつごろ始まったかは定かではありませんが、一説には、1970年代から使われてきた基本ソフト「UNIX」に由来しているとも言われています。かつてのUNIXでは、「一般の利用者が、ほかの利用者のパスワードの格納場所にアクセスでき、時間をかければ解読できてしまう」時代がありました。(*4)このため、「解読されかねない時間」よりも短いスパンで、各利用者がパスワードを変更していく自衛策が必要だったのです。
それから30年あまりを経た2004年に総務省が示した見解でも、定期変更のメリットについて次のように述べられています。(*5)
パスワードを定期的に変更しなければならない理由には、以下のようなものがあります。
- 他人に推測されにくいパスワードでも、ハッキングツールを使って長時間かければパスワードが割り出されてしまうこと
- 仮にパスワードが割り出されてしまっても、なりすましなどの被害を受け続けることを避けることができること
つまり、第三者が総当たりでパスワードを突破しようとしたり、無作為にパスワードを試したりする不正を防ぐための手立てとして、定期変更は推奨されてきたわけです。ところが近年、この方針が世界的に見直されつつあります。
昨年(2017年) 5月、米国の国立標準技術研究所(=NIST)が策定した『電子的認証に関するガイドライン』では、「定期的のような、任意の変更を義務付けるべきではない」と明記(*6)されることとなりました。これに続く本年3月には、国内でも総務省が「国民のための情報セキュリティサイト」の記載を変更し、これまで推奨してきた「パスワードの定期的な変更」を「不要」と明記(*7)しています。内閣サイバーセキュリティセンター、情報処理推進機構、JPCERT コーディネーションセンター、地方公共団体情報システム機構といった専門機関も、すでにパスワードの定期変更について言及することをやめており、国内ではその是非について一定の方向性が定まりつつあります。(*8)
この一連の動きは専門家のみならず社会一般からも高い注目を集め、情報セキュリティ政策の大転換として大きく報道されましたが、この転換の背景に何があるのか、次項で参照してみましょう。
3.定期変更を推奨しない背景
そもそもパスワード定期変更を推奨していた理由は、不正なパスワード解読を防ぐというものでした。
第三者がパスワードを解読しようとしても、正解のパスワードが変更されてしまえば、それまでの解読作業はムダとなり、そのつどやり直しになってしまいます。したがって、たとえば「解読に8ヶ月かかる」と想定される場合は、それ未満のスパン(たとえば6ヶ月ごと)でパスワードを変更していけば、不正な攻撃者の解読を一定程度は防ぐことができます。
ところが昨今、コンピュータの計算速度は飛躍的に高まっており、不正者の解読スピードも同様に高まっています。したがって、先ほどの例のように「3年前なら8ヵ月かかった解読も、現在なら数日で済んでしまう」といったことも、充分に想定されるのです。
解読の脅威が増しているのならば、変更の頻度を増していけばよいかと言えば、そうとは言えません。なぜならば、定期的な変更を強制すればするほど、利用者の「憶えなければいけない」負担が増していくからです。内閣サイバーセキュリティセンターも、『ネットワークビギナーのための情報セキュリティハンドブックVer.3.00』では「定期的な変更を要求することで、パスワードの作り方がワンパターン化し簡単なものになることや、使い回しするようになることの方が問題となります」と明記(*9)しています。
人間の記憶や能力には限界があるので、どうしても覚えやすいキーワードや規則性を持ったパスワードになってしまいがちです。定期変更の際にも、しっかり新しいパスワードを作るのではなく、「同じパターンで1~2文字を変えるだけ」だったり、「いくつかのパスワードを用意して西暦を付けるだけ」だったり、つい単純な行動を取ってしまうのです。
しかしそれでは、パスワード自体が安易に設定されてしまい、その強度が保たれなくなってしまいます。定期変更によって回避できるリスクよりも、「定期変更を運用するヒト」による運用上のリスクが高まるという本末転倒の状態に陥ってしまうのです。利用するサービスや管理する端末や機器が増えれば増えるほど、利用するパスワードも増えていきます。このような状況でさらにパスワードの定期変更を求めることは、むしろ危険だという認識に至ったものだと言えます。
しかし、何の理由もないまま「定期変更が不要」となったわけではありません。次項では、いくつかの注意点を振り返りたいと思います。
4.定期変更を不要とする前に
総務省「国民のための情報セキュリティサイト:安全なパスワード管理」では、定期変更を非推奨とする一方で、以下の二つに留意するよう促しています。
(1)安全なパスワードを設定する
定期変更をしようがしまいが、強度に欠ける安易なパスワードを設定しては、元も子もありません。「定期変更しなくていい=憶えなおす頻度が減る」からこそ、しっかりした強度のパスワードを設定することが必要です。この、「強度の高いパスワード」については、「SPNの眼」の来月号にてご紹介できればと思います。
(2)パスワードを複数のサービスで使い回さない
たとえばサービスAにて強度が高いパスワードを設けた場合でも、①同じIDとパスワードの組み合わせを別のサービスBでも使い回し、②サービスBが不正な攻撃を受けて組み合わせが漏えいしてしまった場合、これの組み合わせをサービスAで試されたら認証は突破されてしまいます。
おおむねこの2点を厳守してさえいれば、原則的にパスワードの定期変更は不要となると言えます(実際には、このほかにも望ましい要件・注意すべきリスクは点在しています。詳細は、「情報セキュリティトピックス5月号」「パスワードの重要性と管理のあり方」もご参考ください。
5.次回に向けて
ここまでパスワードの定期変更の要否をめぐる経緯と、総務省の方向転換を経た注意点を振り返ってきました。
総務省の件は一般メディアでも広く報道されたことから、たとえば自社内のルールに疑問を持ったり、経営層から意見されたりしたかたも多いかもしれません。
つい「定期変更は不要」との一面的な言葉のみに流されそうになるかもしれませんが、その前提要件や個別の例外など、注意すべき観点があります。
この点については、NPO法人「デジタル・フォレンジック研究会」の石井徹哉理事も、その論考で同様の懸念をあらわしています。(*10)
「パスワードの定期変更は不要」ということだけがバズる(*11)ことで、無反省にこれに従うということは、適切なセキュリティの判断とはいえないでしょう
少なくともある方策・施策だけを取り上げてそれをするかしないかを決定するのは、思考停止であり、リスクに応じて管理策を決めるというセキュリティの考え方にそうものとはいえないでしょう。
どのような施策が妥当かは、それぞれの組織に固有のものとしてそれぞれ独自に判断していくことが必要でしょう
なお、次回の「SPNの眼」では、パスワードの定期変更にかかる例外や推奨されるケース、および米国NISTが策定したガイドライン「NIST SP 800-63」の附属文書A「Enrollment & Identity Proofing(=登録と本人確認)」を参照しつつ「パスワードの強度をいかに高めるのか」を検討したいと思います。
———-【参考資料】————
(*1)パスワード「頻繁に変更はNG」 総務省が方針転換(本年7月29日閲覧)本文へ戻る
(*2)パスワード「定期変更は不要」国が方針一転「簡単な文字列になりがち」(本年7月29日閲覧)本文へ戻る
(*3)ヤフーがパスワードの定期変更求める記載削除へ 総務省も安全なもの前提で呼びかけ(本年7月29日閲覧)本文へ戻る
(*4)近年のUNIXではセキュリティが強化されており、ほかの利用者のパスワードを閲覧できるような脆弱性はありません。本文へ戻る
(*5)総務省「情報管理担当者のための情報セキュリティ対策 パスワード管理の推奨」(2004年7月11日閲覧)本文へ戻る
(*6)NIST Special Publication 800-63B: 5.1.1.2「Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically).」(本年7月29日閲覧)本文へ戻る
(*7)総務省「国民のための情報セキュリティサイト:安全なパスワード管理」(本年7月29日閲覧)本文へ戻る
(*8) …とは言っても現時点で、国内の政府機関がすべて足並みをそろえているわけではなく、定期変更を推奨する標準規格も混在しています。たとえば、経済産業省「情報セキュリティ管理基準(2016年改正)」では「パスワードは、定期的に及び必要に応じて変更させるようにする(9.4.3.5)」という項目が残っています。また、ISO/IEC 27002の国内版となるJIS Q 27002(2014年発行)でも「パスワードは,定期的に及び必要に応じて変更させるようにする(9.4.3)」となっています。本文へ戻る
(*9)ネットワークビギナーのための情報セキュリティハンドブックVer.3.00(本年7月29日閲覧)本文へ戻る
(*10)第509号コラム「情報セキュリティ対策基準とその運用」(本年7月29日閲覧)本文へ戻る
(*11)ネットの俗語。「話題になる」「注目を集める」の意。本文へ戻る