「長期間おなじパスワードを使っています。パスワードを変更してください。」

こんなメッセージをネットバンクなどで見た人は多いのではないだろうか?

パスワードと言えば、定期的に変更するほうが安全だと言われていたのはご存知の通り。

ところが今、総務省の「国民のための情報セキュリティサイト」にはこう書かれている。

国民のための情報セキュリティサイトより

「定期的な変更は不要」?

一部の報道では、今までパスワードは定期的に変更したほうが安全だと周知してきた「総務省が方針転換」などと伝えているが、一体何があったのか?

そして安全なパスワードとはどんなものなのか?

まずは総務省サイバーセキュリティ課の担当者に聞いてみた。

「変更不要」は昨年秋から周知しています

ホウドウキョク:
いつから「定期的な変更は不要」ということにしたのか?

担当者:
「国民のための情報セキュリティサイト」は2003年に開設され、当時は「定期的にパスワードを変更するようにしましょう」と皆様に周知していました。
2016年12月になると、内閣サイバーセキュリティセンター(NISC=ニクス)が、「パスワードの定期変更は必要なし」とする「情報セキュリティハンドブック」を公開しました。

情報セキュリティハンドブック

担当者:
2017年6月には、米国国立標準技術研究所(NIST=ニスト)から、サービスを提供する側がパスワードの定期的な変更を要求するべきではないというガイドラインが示されました。
これを受けて総務省は昨年の秋から「定期的な変更は不要」という周知をしています

ホウドウキョク:
昨年秋!?最近変更したのではないのか?

担当者:
サイトの一部に以前の「定期的にパスワードを変更をすること」という表現が残っている箇所があり、そのためのメンテナンスは随時行っています。

今回のパスワードの件は、周知の内容を見直したということであり、会議などで方針を変えたわけではありません。
NISCが「情報セキュリティハンドブック」で公表したことを、アメリカの動向を踏まえて、総務省がサイトで更新し、周知をはかっているということとご理解いただければと思います。

定期変更不要のパスワードとは?

では、定期的な変更は不要としたNISC(=内閣サイバーセキュリティセンター)はどう考えているのか?
担当者に聞いてみた。

ホウドウキョク:

いつから「定期的な変更は不要」と方針を変えたのか?

担当者:
NISCが「定期的な変更は不要」という方針を示したのは、2016年の12月に初めて出した「情報セキュリティハンドブック」の完全版で、それ以前はパスワードに関して何か方針を示していたことはありません

ホウドウキョク:
一般的に「変更すべき」と言われていたのに、なぜ「変更は不要」になったのか?

担当者:
最近は、例えば10ケタ以上のパスワードを設定しないと認めないシステムが出てきています。
そのような、十分な「パスワード長」が確保できる場合には「定期的な変更は不要」という方針です。

我々が「定期的な変更は不要」としたのは、どんなパスワードでも、なんでもかんでもいい、というわけではありません。
例えば4桁の数字など、非常に短いパスワードは、むしろ定期的な変更が必要になるケースだと思います。
あくまで「パスワード長」が十分確保できる場合において、「定期的な変更は不要」という方針を示したと、ご理解いただければと思います。

パスワードの定期的な変更を強制してしまうと、ユーザーは「名前+生年月日」やあるいは「名前+1234」など、簡単なパスワードを作ってしまいがちです。
それより複雑なパスワードを最初から設定してほしいということです。

ホウドウキョク:
パスワードの常識が大きく変わったが、今の「定期変更は不要」という指針もまたいつか変わるのではないか?

担当者:
それはそうですね。
セキュリティというのは、その時の利用状況や技術によって、あり方が変わっていくものなので、我々も社会の変化に合わせて最適な方法を考えていきたいと思っています。

(執筆: editors room)