treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

パスワード運用の新しい常識?

セキュリティ

ちょっと前の話ですが、パスワードについて今までの考え方を考え直さないといけないかな、と思わせる記事に出会ったのでご報告します。
これからもうしばらくパスワード認証という仕組みを使い続ける必要はありますので、知ってても損はない話だと思います。

話の発端は、パスワードの定期変更

総務省からのリリースでパスワードの定期変更は不要というニュースがメディアで報じられていました。
正確にはパスワードの定期変更を要求しなくなった、というところが正しいところのようです。

一言で言えば
「忘れるからという理由で脆弱なパスワードを定期変更されるくらいなら、いっそのこと"強固なパスワードを一回設定したら変更しない"ほうがよい。」
という考え方になった、ということです。
なので、脆弱なパスワードと考えられる文字列を利用していながら「世の中がこう言ってるんだから定期変更は意味がないんだ」という話をするのはちょっと違うなぁ、とは思います。

これを踏まえて、読んでおきたい記事

気になったニュース:

高木浩光氏が解説「パスワード定期変更は都市伝説」 | Bizコンパス -ITによるビジネス課題解決事例満載!

高木浩光氏が提言「パスワードの文字数制限は不要」 | Bizコンパス -ITによるビジネス課題解決事例満載!

全文を読むには無料の会員登録が必要になりますが、無料の会員登録をして読むほどの価値はあると個人的には思える記事内容でした。

とかく、ためになります。是非ご一読お勧めします。

要点をまとめると
パスワードの定期変更は不要⇒弱いパスワードを定期変更することはあまり効果が見られない。
なら、強固なパスワードをきっちりサービス別に一意のパスワードを設定しましょう。⇒そのやり方は…
という風に個人的には理解しました。

とはいえ、ISMSとかは

ある程度の規模になる企業ではISMSやPマークと言った認証資格を保有している企業も多くあり、その認証資格には定期的な監査が入ります。
ここ数年は監査に立ち会うようなこともないので現在の状況は不明ですが、数年前まではパスワード定期変更してますか?っていう設問もあったような記憶があります。この辺も変わってくのかもしれませんね。
「ちゃんと複雑なパスワードをすべてのIDに設定していますか?」
という具合に。

定期変更の強制はしない方がイイということかも

現状では定期変更よりも強固なパスワードを設定したほうがイイ、という話です。そのうちパスワードの定期変更という運用は死語になってしまうような時代を予感させる昨今ではあります。

ただ、推測されにくいパスワードであってもピンポイントで狙われてツールの力でじっくり長時間かけて割り出されてしまうケースもあるかもしれません。長期的に見るとサービスごとに何かのタイミングでパスワードを変更するというのは必要かも。

パスワードが盗まれたり割り出されたりしたとしても変更した時点で長時間かけて割り出されたパスワードは使えないことになるわけです。

総務省の国民のための情報セキュリティサイトに

安全なパスワード管理|社員・職員全般の情報セキュリティ対策|企業・組織の対策|国民のための情報セキュリティサイト

※以下引用:
-------------------------------------------------------
なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。
-------------------------------------------------------

安全なパスワードを設定したうえで、何かセキュリティ上気になることがあったタイミングではその都度パスワードを変更をする、という記述に読み取れます。
いや、それよりとても安全なパスワードを、より強固なパスワードを生成することの方が優先度は高い、と言うのは前提としてあります。

なんか頭の中がこんがらがってきました。

一つ思ったのは、短かいスパンでパスワード定期変更が強制されてしまうと、ユーザは「忘れにくいことの優先順位が上がり」「より平易なパスワードや前のパスワードと似たパスワードを設定しがち」という点は頭に入れておいてもいいかもしれません。

もうちょい、勉強が必要ですね。まだきっちり理解できていないかも。

これからパスワードによる認証と言う仕組みがどう落ち着くかと言う点は流行に乗り遅れないよう、注視しておくほうがよさそうです。

そしてユーザに安全なパスワードを啓蒙する、という困難なシステム管理者の活動がより一層重要になる、ということはこれからの課題になりそうです。