LoginSignup
0
0

More than 3 years have passed since last update.

@mkdir(えむけぃ)

定期的なパスワード変更をなくす(上司を説得する)には

Posted at

パスワードは、肉やパンのように腐ったりしない

だから「消費期限」なども必要ない。

とは少々乱暴な意見かも知れませんが、これには裏付けがあって、
2017年米国国立標準技術研究所 (NIST) による刊行物の、パスワードのベスト・プラクティスに以下のように記載されています。

認証コードの漏えいの証拠がある場合、または加入者から変更の要求があった場合を除き、
「検証者は、記憶された秘密情報を恣意的(定期的など)に変更することを要求してはならない」
また、「大文字や小文字を混ぜたパスワード」を推奨してきたが、これらも「無意味だった」

としています。

Microsoft社でも、この刊行物に従って
Windows 10 v1903およびWindows Server v1903のセキュリティベースライン(DRAFT)において、定期的なパスワード変更を必要とするパスワード有効期限ポリシーを削除するとのこと。

Microsoft社は、なぜパスワードの有効期限ポリシーを削除するのですか?
という疑問に対して、
パスワードが盗まれることがない場合は、期限切れにする必要はありません。
また、パスワードが盗まれたという証拠がある場合は、有効期限が切れるのを待って問題を修正するのではなく、ただちに行動することになります

という答え等を用意しており、NISTの主張に同意するようにMicrosoft セキュリティガイダンスのブログで公開しています。

参考)
Windows 10と Windows Serverのベースライン設定においてパスワードの有効期限設定を廃止する

定期的な変更を実施することのリスク

また、日本の総務省も国民のための情報セキュリティサイトで、
実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません
と謳っており、
むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります
とも書いています。

その考えに至った経緯は前述のNISTからきており、Microsoft社と同様、これからのパスワード管理の考え方を明示しています。

参考)
安全なパスワード管理(総務省)

定期的にパスワード変更をするときの人間のさぼり方

パスワードの変更を強制された大半のユーザは、類似のパスワードを使いまわすことが多い。
末尾の一文字を変更するだけ。
大文字、小文字を変更するだけ。
数字の前後を入れ替えるだけ等々。
しかもその新しいパスワードを忘れてしまったりする。

考案者の思惑通りにはならず、脆弱なパスワードを生み出す結果になってしまったと、ルールの考案者であるビル・バー氏が告白した。
NISTが2017年6月に発表した冊子「800-63」は全面改訂され、パスワード有効期限に関する項目は撤廃された。

パスワードの有効期限設定ポリシーはオワコン、時代遅れ

そうです。パスワードの有効期限など今どきではないのです。
この提案がNISTから発表されたのは2017年6月。
2020年現在、既に3年近く時が過ぎていますが、周りでパスワード有効期限なんて設定しなくていいよ、なんて声が聞こえているでしょうか。

少なくとも私の周りではそんなことを言えばギョッとした目で見られます。

システム管理者がセキュリティ関連の設定(設計)をしているときに、
上司らの言葉で、「それで監査通るの? 説明できる?」と言われたことってないでしょうか。

セキュリティに説明できないような事項が発生したときは、その理由を求められ(誰にでも分かりやすく)説明する必要があります。

が、本来は監査する側がそんな設定は必要ないと判断してもらうことが正解のはずです。
今、監査を受けて通るかどうか不明なら念のため設定する方針になったりする時点で、まだまだ浸透していない話なのだと思います。

参考)
パスワード「90日ごとに変更」は間違い? ルール提唱者が「後悔」
パスワードの有効期限の設定はもはや時代遅れかもしれません

定期的なパスワード変更をなくす(上司を説得する)には

もし今後の設計で私が聞かれたときは、Microsoft社や、総務省も言ってますよ、
と日本人的な回答を用意しておいて、エビデンス(笑)を求められた際は、総務省のリンクを突き付けてやろうかと考えています。

上司などを説得するスキルは貴方が上司とそれまでに築いた関係性と裁量によるとは思いますが、明らかに上司より偉い人達が言っているから大丈夫だと思わせればいいはず。理論ではなく安心を求めている場合に限りですけど。

※貴方がMicrosoft社や総務省にお勤めの方ならこの手は通用しませんけどね(´Д`)

根本から改善するには、世の中の意識を変更しなければいけないので、まずは定期的にパスワード変更を求める銀行のサイトらへんが追従してくれれば、話は早くなるのにな、と思います。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0