その昔、特に業務システムにおいて、ログイン用のパスワードを定期的に更新するように求められることが一般的でした。もしかしたら、今でもそういうシステムが残っているかも知れません。
しかしながら、このようなパスワードの定期更新は現在では非推奨となっています。日本やアメリカの公的な組織からも、パスワードを定期更新するべきではないという見解が示されています。
この記事では、パスワードの定期更新が非推奨である理由と、そうなった経緯についてご紹介したいと思います。
なぜパスワードの定期更新は非推奨なのか?
パスワードの定期更新を非推奨とする理由については、以下のものが挙げられます。
- パスワードの定期更新にはパスワードを破られにくくする効果がない。
- パスワードの定期更新を強要することでパスワードが簡単になったり、使いまわしをするような問題が増える。
パスワードを定期更新するよりも、推測されにくく安全なパスワードを使う、パスワードを使いまわさない/他人に教えない/複数人で共有しないといった対策をする方が大切です。
パスワードを破られにくくするにはパスワードの長さや複雑さの方が重要であり、その更新頻度は重要ではありません。また、パスワードの定期更新を強要すると人々がパスワードを使い回すような問題が起こりやすくなります。
パスワードの変更は定期的に行うのではなく、それが必要になったタイミングで実施するべきです。
なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られる等のサービス側から流出した事実がない場合は、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。
安全なパスワードの設定・管理 | 国民のためのサイバーセキュリティサイト
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/security/business/staff/06/
いつからパスワードの定期更新は非推奨になったのか?
ひと昔前まではパスワードの定期更新は推奨される行為でした。しかし現在では、日本やアメリカの公的な組織によって「定期更新は必要ない」という方針が示されています。
- 2017年: 米国国立標準技術研究所(NIST) から「パスワードの定期的な変更を要求するべきではない」とガイドラインが示される。
- 2018年3月: 日本の内閣サイバーセキュリティセンターからパスワードの変更をする必要はない旨が示される。
このように2017年頃から公的にパスワードの定期更新が否定されているのですが、情報セキュリティに通じた人々から疑問の声が上がったのはもっと昔のことでした。
例えば、2008年に投稿された徳丸浩氏のblogでは、パスワードの定期更新について疑問を呈する記事が書かれています。
一般に、パスワードのブルート・フォース攻撃や辞書攻撃に対する備えとしてはアカウント・ロックが有効であり、重ねて定期的なパスワード変更を義務付ける必要はまったくないと私は考える。
パスワードの定期変更は「神話」なのか? – ockeghem’s blog
https://ockeghem.hatenablog.jp/entry/20080226/p1
また2011年に @ITに掲載された辻伸弘氏の記事でも、盲目的にパスワードを定期更新することの危険性について触れられています。
昨今のセキュリティ事情を考慮すると、「パスワードの定期な変更」は、いまやあまり意味をなさなくなってきている。にもかかわらず、守るべき情報資産の質(=前述の短期的か、長期的か)を考慮せず、おまじないのように定期的なパスワード変更を要求するシステムは少なくない。
しかし、この無批判な運用がかえって、パスワードの質を低下させる危険性を含んでいるのだ。
パスワードの定期変更という“不自然なルール”:セキュリティ・ダークナイト(6)(3/4 ページ) – @IT
https://atmarkit.itmedia.co.jp/ait/articles/1102/04/news117_3.html
まとめ
パスワードの定期更新は、昔は「やって当たり前」のセキュリティ対策でした。しかし、その有効性を疑問視する声が専門家の方々から上がってくるようになりました。
それから長い議論の末、パスワードの定期更新は一般的に非推奨のものとして扱われるようになったのでした。