パスワードを定期的に変更しなくても良い説…
皆さんはどのように考えますか?

2019年3月11日

パスワードを定期的に変えるのはかえって危険と2018年に総務省がインターネット利用時のパスワードについて、従来の"常識"を覆すような注意喚起を始めました。

パスワードを変更する、変更しない、どちらが正しいかは断言出来ませんが、「パスワードを盗まれないようにするには、定期的なパスワードが必要」。この考えは長らく情報セキュリティの基本中の基本でしたが、総務省の国民のための情報セキュリティサイトには下記のような内容が示されています。

「これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです。
また、日本においても、内閣サイバーセキュリティセンター(NISC)から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています。」
と公表しました。

パスワードを定期的に変更することで覚えやすいパスワードに変更してしまう、だから推測しやすい文字列になり、不正アクセスのリスクが増すということが理由で、複雑なパスワードを使い続ければ変更しなくても良いだろうと方針転換に困惑する声も少なくなさそうです

私個人的には、パスワードの定期的な変更は、無意味とまではいきませんが、変更しなくても問題ないと考えます。不正アクセス等がない限り、利用し続けてもOKだと思います。
それに、プライベートで利用しているパスワード関連は、ほぼ変更していませんし、不正利用や漏洩が発覚したことはありません。 ただし、不正アクセスや、漏洩が発覚すれば確実に速やかに変更しなければ行けませんが…

とはいえ、弊社の方針は、各システムごとにパスワードポリシーを定め、パスワードは90日〜180日に一度は変更する運用管理を実施しております。
情シス担当者として言ってることとやっていることが矛盾していることになりますが、会社ルールとプライベートルールと切り替えているのが実態です。

最近では、パスワード一元管理が出来るSSOシングルサインオンも主流になってきており、パスワードを一つしか持たずに他のシステムに自動でログインできるサービスがあります。
これはこれで、そのパスワードが漏洩するとすべてのシステムにも影響が出てしまったり、システムが停止した場合、全システムにログイン出来ない等、便利になる一方で、不便に感じるデメリットも存在します。

結論、パスワードを定期的に変更しなくても良い説や、シングルサインオンのような便利なサービスを含め、情シス担当者は、総務省が示すガイドラインに則り、自社のリスクを特定した上で、自社のパスワードポリシーを検討するべきと考えます。私個人的な意見では、総務省が示すようにパスワード変更はしなくても良い、という目線で自社のポリシーを整え、運用に適用させていきます。

<お断り>
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

岩岡 加寿久 株式会社宅都ホールディングス
経営推進本部 情報システムチーム

新卒で現不動産会社の営業部門に入社。
その後、現部門に異動し、情報システム・広報・広告を兼務し、何でも屋さんの立ち位置で現在に至る。

© PC・ネットワークの管理・活用を考える会