記事書きました! NTT西日本「Biz Clip」IT時事ネタキーワード「これが気になる!」(第152回) 「パスワード変更をユーザーに要求しない新ガイダンスを米国政府機関が発表」

青木恵美のお仕事 .執筆記事

記事書きました! NTT西日本「Biz Clip」IT時事ネタキーワード「これが気になる!」(第152回) 「パスワード変更をユーザーに要求しない新ガイダンスを米国政府機関が発表」

パスワード変更をユーザーに要求しない新ガイダンスを米国政府機関が発表 | Biz Clip(ビズクリップ)-読む・知る・活かす
↑本記事はこれです。

ここでは概要と裏話を。まずは本記事を読んだうえで、見てくらはい!

 パスワードといえば、パソコンやスマホでネット上のサービスなどにアクセスするために欠かせない認証システムの一部だ。パスワードは、今までその取り扱いが長らく議論され、一般的に「パスワードは8文字以上」「他人に推測されにくい文字列」「大文字小文字に数字や記号を混ぜる」などの他、「定期的に変更する」べき、と言われてきた。

ネット銀行とか、各種サービスとか、「定期的に変更する」推奨だよね。あなたのパスワードはしばらく変更されてません。変更しますか?とかいわれたり。。。

 ところが米国政府機関のNIST(米国立標準技術研究所)による「電子認証に関するガイドライン」の2024年8月の公開草案において、「パスワードを定期的に変更することをユーザーに要求“してはならない”」としたとのニュースが流れ、話題となった。

そうなんよ。私もニュース見て「えっ」と思った。そのすぐ直前に「パスワード変更してください」みたいなサイト見てて、すぐは信じられなかった。。。

2017年から「パスワードの定期変更不要」の方針。日本政府もそれを明らかにしてた…

 2024年5月リニューアルの総務省「国民のためのサイバーセキュリティサイト」の「安全なパスワードの設定・管理」には、パスワードの重要性を再認識して、適切なパスワード管理を心がけることを示唆するとともに、アカウントを不正に利用されないようにするため、「推測されにくい安全なパスワードを作成し、他人の目に触れないよう適切な方法で保管することが大切」と案内している。そして、この「安全なパスワードの設定・管理」を読んでいたら、ここにもパスワードの「定期的な変更は不要」という記述があり驚いた。「これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです」とある。

えっ、2017年から? ということでちょいスマホを落としそうになった。それも、日本政府はここ2年ぐらい、この方針をあちこちで記していたっぽい。

その理由はこちら。

 「安全なパスワードの設定・管理」には「パスワードはできる限り、複数のサービスで使い回さないようにしましょう」「実際にパスワードを破られアカウントが乗っ取られる等のサービス側から流出した事実がない場合は、パスワードを変更する必要はありません」とあり、むしろ定期的な変更をすることで、パスワードの作り方がパターン化して推測しやすくなることや、使い回しをすることが大きな問題、とされている。

そうだったのか。「定期的な変更」を勧められたときに、一文字二文字だけ変えたりとか、「パターン化」してしまってるもんな。そのうえ、いかんと思いながら、使いまわしもやっている。。。

NISTは「パスワードマネージャ+貼り付け」を推奨! えっ?

で、驚くのは、そのNIST、「パスワードマネージャ+貼り付け」を推奨しているというのだ。ふつうパスワード欄は「貼り付け」禁止になってることが多いが。。。そうだよね。パターン化&使いまわしは避ける、というなら、認証個々に複雑なキーワードを設定しなきゃならない。それは人間の頭じゃ覚えられないもんね。

 「SP800-63B」ではその他「パスワードマネージャー」の使用および、パスワードを入力するときの「貼り付け」を推奨している。これはパスワードマネージャーの使用により、ユーザーがより強力なパスワードを使う可能性を高められることを想定しているゆえんだ。実際、人間が複雑かつ長い文字列を暗記することは困難なため、メモやノートに書き留めたり、テキストファイルにして端末内に保存したりするなどの対策を行わざるを得ず、これではかえってセキュリティ・リスクが高まる。

ID+パスワードの認証は限界なのか? パスワードレスの認証も増えつつある

まあそうなっていくと、ID+パスワードの認証は限界なのか?と思う。そういえば数年前から「二段階認証」が増えているけれど、最近はパスワード代わりにSMSやメアドに送られたパスキー(数字)を入れるとか、認証アプリのパスキーを入れることで、パスワードを使わない認証も、増えているもんな。。。

 ただし現在、パスワードマネージャーを使うケースはあまり多くない。なぜなら最近は「パスワードレス」認証が盛んになりつつあるからだ。このところ、Google、マイクロソフト、Yahoo! Japanなど大手ITサービスへのログイン時にパスワードを入力するケースは少なくなった。近年は、「ログイン時にスマホにSMSなどで送られたパスコードを入力する」「スマホの生体認証を利用する」「Authenticatorなどの認証アプリを使う」など、パスワード要らずでログインできる場合も少なくない。

 二段階認証もしくはパスワードレス認証という、新しい認証方式が普及しつつある現状では、よりイマドキな認証方法を採用しているサービスを使っていくほうが安全であろう。ただ、認証が必要なすべてのサイトやサービスが新しい方式を採用しているわけではなく、いまだに手入力でのパスワード認証でログインするサービスも多く存在する。それらを使う場合は、今回紹介した資料などの情報をよく読んで頭に入れ、最新のガイダンスに従い、自己防衛していく必要がある。

そうねそうね。進歩とともに、脅威も増えつつあるわけで、最新情勢に対応していく必要があるわけだ。

結び…最新の認証もだが、旧式のものも数多。柔軟に安全に対応していこう

結論。「パスワードの定期変更は、基本的に必要なし。ただし流出時は速やかに変更する」というパスワード認証の新しい流れ。これを頭に入れよう。

 ここまでを整理すると「パスワードの定期変更は、基本的に必要なし。ただし流出時は速やかに変更する」というパスワード認証の新しい流れになりつつある。後半の「流出時は速やかに変更する」ためには、「認証情報が流出したという情報」を早めに確実に入手することが重要となる。サービスや企業から知らせが来た場合は、速やかに指示に従い、認証情報の変更を行う。

とはいえ、まだまだID+パスワードという旧式のサイトもたくさんある。最新の流れをよく知りつつ、安全性を常に意識して使っていくのがよい。

 今回、パスワード認証規格などセキュリティシステムをはじめ、ITシステムについて最新の流れを知ることは、特に大事だと実感した。筆者もパスワードを定期的に変更しようと、含まれる文字列の一部を変えるだけの変更を行ったり、使いまわしたりしている現状を反省している。最新の流れにアンテナを張りつつ自社のシステムや自分の利用するサービスをよく確認し、利用や運営を行っていくとよいだろう。

今回はそんなわけで。。。。

連載バックナンバー

IT時事ネタキーワード「これが気になる!」


コメント

タイトルとURLをコピーしました