もはや長い間、
「パスワードは定期的に変えましょう」
「パスワードが、201X年XX月XX日より変更されていません。 パスワードは定期的に変更してください。」
と様々なサイトのログイン画面で注意を喚起されたり、
会社でもプライバシーマークの審査で、
「パスワードの有効期限(更新頻度)について定めていること」
と、定期的な変更を規定に盛り込まないと是正を求められたりと、そのたびに「必要ないでしょ」と思っていました。
そもそもパスワードなどは、文字数が多く、類推が難しいものであれば、それをわざわざ定期的に変える必要は感じられないし、定期的に変えるということはどうしても覚えやすいものにしてしまう傾向とか、変えることでちょっとメモをして人の目に触れるところに置いてしまったりという人的リスクも高まるはずです。
「私はそんな(メモするような)ヘマはしない」という人はいいとして、一般的な傾向の話です。
で、本日(2018/3/26)の日本経済新聞に、
パスワード「頻繁に変更はNG」 総務省が方針転換
定期的に変えるのはかえって危険――。総務省がインターネット利用時のパスワードについて、従来の“常識”を覆すような注意喚起を始めた。「推測しやすい文字列になって不正アクセスのリスクが増す」というのが理由で、複雑なパスワードを使い続けるよう呼びかけている。方針転換に困惑する声も少なくない。
(以下省略)
という記事が出ました。
これは総務省の「国民のための情報セキュリティサイト」にあるもので、私が見た資料(PDF)では
パスワードを複数のサービスで使いまわさない(定期的な変更は不要)
(中略)
利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。
そう。そうなんですよ。
サイトだってパスワードを(ハッシュ化せずに)ナマのままデータベースに保存しているサイトなんて・・・あ、そんなサイトを1つ知ってるけど、まあ超レアケース。
いちばんヤバいのは簡単すぎるパスワードと同じパスワードの使いまわしのほうで、「定期的に変更」などと無駄なことを言うよりもよっぽど重要なはず。
ホント、実態と合わないというか、ことなかれ主義的に「定期的な変更」を「やらなくていい」よりは「やりなさい」のほうがマシだろうみたいな規定だとずっと思っていたわけです。
これでプライバシーマークの規定にも、そんなクソな(誰も守らないような)おまじないを記載しなくていいようになれば幸いです。
但し、プライバシーマークは経済産業省の主管で、この「頻繁に変更はNG」と言ったのは総務省。
経済産業省がすんなりと総務省の主張を受け入れるかどうかは、ちょっと疑問。
(追記と訂正)
プライバシーマークについて、一般財団法人日本情報経済社会推進協会(JIPDEC)が2018年04月10日に発表した「JIS Q 15001:2006をベースにした個人情報保護マネジメントシステム実施のためのガイドライン-第2版-」の一部改訂内容に、「識別情報(ID、パスワード等)管理の望ましい手法」として、さっそく総務省の指針が反映されていました。
プライバシーマークの個人情報保護委員会は経済産業省の主管と書きましたが、どうやら内閣府のマイナンバー制度の導入で、経済産業省から代わっているような感じですが、そのあたり正確にご存知の方がおられたらご教示ください。