28
(画像はネットワークビギナーのための情報セキュリティハンドブックより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

電子機器やネットワークサービスなどの認証に使用されるパスワードについて、「定期的な変更」を行うのが情報セキュリティの常識とされてきました。国内でもメガバンクなどのオンラインバンキングでは一定期間が経過すると強制的にパスワード変更を促されるようになっています。またプライバシーマーク・ISMSの審査においても、パスワードの定期的な変更は行うのが当然とされてきてました。

一方で、「パスワードの定期的な変更は無意味だ」という意見も出され続けていました。実際にパスワードの定期的な変更を強制すると、「パスワードが分からなくなった」「ログインできない」というような問い合わせが頻発して、サポートコストが増大することもあり、無料で利用できるようなクラウドサービスではパスワードの定期的な変更はほとんど行われていませんでした。

パスワードの定期的な変更は、長い間、情報セキュリティ界の神学論争のようになっていたのです。

この流れを大きく変えたのが、2017年に米国NIST(国立標準技術研究所)が発行したガイドラインです。このガイドラインの中では明確に「パスワードの変更を任意に(例えば定期的に)要求するべきではない」とされました。パスワードの定期的な変更を要求しなくてもよいではなく、要求するべきではないとされたのです。

パスワードを無理やり変更させるということは、せっかく本人が記憶している(またはどこかに記録している)パスワードを放棄させることになりますから、結果的にパスワードが簡略化されたり、末尾だけ変更されるようになったり、覚えきれなくなって紙に書いて画面の横に貼るような結果を招くだけだということで、むしろ「パスワードは定期的に変更を強制するべきではない」ということになったようです。

これを受けて、日本の内閣サイバーセキュリティセンター(NISC)や総務省も正式に方針を転換し、ハンドブックやWebサイトでの記載も年末くらいから順次見直しされてきているようです。

現在、プライバシーマークの審査基準となっている「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン 第2版」では、「望ましい手法の例示」の中に「パスワードの有効期限を設定している」という内容があります。
01

これについても、今後は見直しが入ることになると思います。2017年版JISに対応したガイドライン第3版では、パスワードの有効期限の設定という項目はなくなっていることでしょう。

また現在パスワードの定期的な変更を強制しているメガバンクのオンラインバンキングも今後は方針を変更することになるでしょう。そうでないといい笑いものになりますからね。

米国NISTが発行したガイドライン
https://pages.nist.gov/800-63-3/sp800-63b.html

ネットワークビギナーのための情報セキュリティハンドブック(NISC)
http://www.nisc.go.jp/security-site/handbook/index.html

国民のための情報セキュリティサイト(総務省)
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/privacy/01-2.html

パスワード「頻繁に変更はNG」 総務省が方針転換(日経新聞)
https://www.nikkei.com/article/DGXMZO2857837026032018CC1000/

また、何か情報が入りましたら、皆様にシェアいたしますね。






週に一回程度、更新情報をお届けします

こちらからメールアドレスをご登録ください。
(まぐまぐのシステムを利用しています)

メンバー募集

オプティマ・ソリューションズは、個人情報保護のためにPマーク・ISMSの取得を通して、様々な企業様をサポートするコンサルティング&サービス会社です。未経験者でも大歓迎です!明るく、真剣に打ち込める環境で一緒に働きましょう!

✅ Pマーク/ISMSコンサルタント
✅ 営業
✅ 広報

興味がある方、ぜひこちらからご連絡ください!