2018年3月29日木曜日

総務省の「パスワードの定期的変更は必要なし」は正しいのか? 情報流出の危険性の考慮無し

「パスワードの定期変更が不要であり、かえって危険であると総務省が注意喚起を始めた」ことを報じる日本経済新聞の記事が、大きな話題となっています。

 「パスワードは定期的に変更する必要なし」、総務省の方針転換話題に 「むしろパターン化する方が問題」 - ねとらぼ
 http://nlab.itmedia.co.jp/nl/articles/1803/27/news130.html

なお、総務省の「国民のための情報セキュリティサイト」で、2017年秋に「パスワードの定期的な変更は不要」の文言が追記。

「むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります」という判断みたいです。

最初、これを見たとき、なるほど!と思いましたが、しかし、ID・パスワードが多くのサイトで情報流出していることを考えると、この判断は間違っています。

むしろ、2段階認証を推奨したり、定期的変更時にどんなことに注意したら良いかを考えるべきです。

以上のことを考えると、以下の論理は単純すぎると思います。

 パスワードの定期的な変更→作り方がパターン化→だから定期的な変更は不要
 
もし、定期的にパスワードを変更しなければ、サイトからパスワードが流出した場合、不正利用されます。

でも、情報流出した時点でパスワードを変更したらいいのでは?

これもNGです。サイトから情報流出しても、それがオープンになるまで、ほとんどの場合数ヶ月、長い場合には半年以上かかっています。

つまり、パスワードの定期的な変更を実施せず、2段階認証も使わない場合は、サイトからID・パスワードが情報流出してからオープンになるまで、不正利用される危険があります。

なお、会社で社内システムを使う場合のパスワードの場合は、情報流出の危険性は少ないですから、パスワード定期変更のリスク(パスワードを単純化する)を考えると、パスワードの定期変更を強制する方が危険性が大かもしれません。


この総務省の転換、米国立標準技術研究所(NIST)が従来の方針を転換したことを受けて、内閣サイバーセキュリティセンター(NISC)がこれに同調、その流れでサイト上の記述を改定したというのが大まかな経緯みたいです。

なお、これらの背景には、パスワードの定期的変更のルールは間違いで、真に利用すべきなのは長く覚えやすいパスワードで、変更するのはパスワードが流出した場合のみだったと、考案者自身による告白がWSJに掲載され、世界的に話題になったことがあります。

 「パスワードの定期変更は正しくない」――考案者が自ら過去の過ちを認める発言 - INTERNET Watch
 https://internet.watch.impress.co.jp/docs/yajiuma/1075308.html

 パスワード「90日ごとに変更」は間違い? ルール提唱者が「後悔」 - ITmedia NEWS
 http://www.itmedia.co.jp/news/articles/1708/18/news072.html


それにしても、「変更するのはパスワードが流出した場合のみ」というのは、サイトからの情報流出が多発する今の時代は危険で、下記の対応が安全です。

 ①パスワードの定期変更時には、簡単なパスワードに変更しない

 ②①が運用上、実現しにくい場合は、2段階認証を活用する


■■□―――――――――――――――――――□■■

総務省 「パスワードの定期的な変更は不要」への転換

■■□―――――――――――――――――――□■■

総務省ではネットを安全に利用するための情報を発信する「国民のための情報セキュリティサイト」を運営していますが、このサイトのパスワードの記述が変更になっています。

 設定と管理のあり方|IDとパスワード|どんな危険があるの?|国民のための情報セキュリティサイト
 http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/privacy/01-2.html

「パスワードを複数のサービスで使い回さない(定期的な変更は不要)」として、以下の記述が、上記サイトに書かれています。

『なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。』
(上記サイトより引用)