2018年5月1日火曜日

パスワードを定期的に変えるのは危険…総務省

 総務省が提供しているWebサイトで「国民のための情報セキュリティサイト」がある。
国民のための情報セキュリティサイト(http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/index.html)

一般利用者から企業・組織に向けた対策まで幅広く情報セキュリティについて解説している。
セキュリティに関する基本的なノウハウを習得するのに最適なサイトだと思う。

この中で興味深い解説がありました。それはパスワード管理に関する内容です。

安全なパスワード管理(http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html)

昔は、パスワードは定期的に変更することが進められていました。
しかしながら、2018年3月より総務省は「パスワードが破られたり流出しない限り変更は不要、むしろ定期的な変更は危険」とパスワード管理について方向転換しました。
これは2017年に米国国立標準技術研究所(NIST)が発表した最新のガイドラインに準じたものだそうです。
理由は「定期的にパスワードを変更することで管理しなければならないパスワードが増えすぎて、人に推測されやすいパスワードを設定するようになる」からだそうです。

この方針にはなるほどと思いました。
確かに僕も特定のワードに月や記号などをアレンジしたものの使い回しになっていたからです。
総務省の方針に従って今後のパスワード管理について見直す必要があるかもしれません。

その前に、利用するシステム側で難しい推測されにくいパスワードを使っていれば、パスワード変更を要求しないシステムに変わる必要がありますが。