総務省「ネットのパスワードを小まめに変更は逆に危険」との呼びかけは正しいのか?

「Getty Images」より

 ショッピング、オークション、フリーマーケット……。インターネット上にはさまざまなサービスを提供するサイトがすごい勢いで増えている。どれもあると便利なサービスだが、新規登録する際に、新たなユーザーIDとパスワードを設定するのが唯一のネック。

 しかも、アルファベットの大文字、小文字、数字と記号を使い、8文字以上20文字以内などと要求される。律儀にパスワードを毎回ひねり出している人もいる一方、なかにはほかのサービスで使用しているパスワードをそのまま使い回したり、末尾に数字を付け加える程度で済ませているユーザーも多いはずだ。さらに、サイトによっては「定期的なパスワードの変更」を要求されるなど、ユーザーにとってパスワード管理は頭の痛い問題になっていた。

 しかし3月末、総務省が方針を変えたが話題になった。総務省の「国民のための情報セキュリティサイト」内の「安全なパスワード管理」の項目に「定期的な変更は不要」との文言が2017年11月に追加されていたのだ。以下がその文言だ。

「パスワードを複数のサービスで使い回さない(定期的な変更は不要)。なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しするようになることの方が問題となります。定期的に変更するよりも、機器やサービスのあいだで使い回しのない、固有のパスワードを設定することが求められます」

●パスワードは定期的に変更すると危険なのか

 かつてパスワードを定期的に変更するように助言していた総務省が、なぜ急に方針を転換したのか。ITジャーナリストの三上洋氏に聞いた。

「パスワードを定期的に変更しないほうがいいというのは、おおむね10年ほど前からセキュリティ関係者の間で言われていたことです。ほとんどの研究者が、パスワードの定期的な変更は、デメリットのほうが多いと考えていました。日本のセキュリティ関連のトップ団体であるIPA(情報処理推進機構)でも、2~3年前からパスワードの定期変更については推奨しなくなっています。そういう国内の動向を踏まえ、さらにアメリカのNIST(米国立標準技術研究所)が昨年ガイドラインを変更したことを受けて、日本政府(総務省)も見解を変えたのだと思います」(三上氏)

 パスワードを定期的に変更すると、なぜデメリットが多くなるのか。

「定期的に変更をすると、パスワードが単純化してしまうからです。例えば、3カ月に1回変更するとします。面倒なので、従来のパスワードの末尾に変更した年月日(201804)などと付けたり、別のサービスで使っている同じパスワードを使い回すことになるので、パスワードが単純化、パターン化して、穴が多くなりやすいからです。

 攻撃する側は、よく使われている単純なパスワードを基に推測したり、すでに漏れているパスワードリストを基に不正ログインしようとするので、定期的な変更をするとデメリットのほうが大きくなるのです。

 つまり、『定期的に変更しましょう』とユーザーに呼びかけることが、パスワードをより甘いものにしてしまうのです。だから呼びかけることをやめたのです。もちろん、反論もあり、依然として定期的変更は必要だという研究者の方もいらっしゃいます」(同)

 では、どのようにすれば安全なパスワードをつくれるのか。NISTでは、推奨されるパスワードについて、「覚えやすくてもいいので、長くすること」としている。定期的に変更しないというだけではなく、異なる文字種を混在させる必要もないという。