パスワード定期変更は不要だった!総務省の方針転換に「やっと見直された」

総務省が「国民のための情報セキュリティサイト」に記載されていた「パスワードを定期的に変更し、使い回さない」という記述を変更。「パスワードを複数のサービスで使い回さない(定期的な変更は不要)」としている。
日本経済新聞電子版の記事をきっかけに、ネット上で話題になっている。

総務省「パスワードを変更する必要はありません」


総務省は同サイトで「利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません」と呼びかけた。

さらに「むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます」とも記載。今までパスワード設定の“常識”とされてきた定期更新は、パスワードのセキュリティ低下に繋がるという。

なぜこのような方針転換がされたのか。同サイトでは「これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです」と説明している。


この変更にネット上では、「今まで苦労してパスワードを変更していたのはいったい…」と驚きの声が。一方で世界的には数年前から「パスワードの変更は不要」と提唱されていたので、「やっと日本でも見直されたか」「むしろ遅いレベル」とも指摘されている。

パスワード設定の新常識


そもそもパスワードの定期的な変更がセキュリティの常識になったのは、2003年に作成された「NIST Special Publication 800-63. Appendix A.」という文章がきっかけ。しかし同文章を執筆したビル・バーさんは、ウォール・ストリート・ジャーナル の取材に「今では自分がしたことの多くを悔やんでいる」と答えている。

記事によると彼が提唱したパスワードの定期的な変更は、セキュリティの強化にあまり寄与しなかったという。というのも、結局「Pa55word!1」を「Pa55word!2」にするだけのような小幅な変更に留める人がほとんどで、攻撃者への対策としては不十分。
また「Tr0ub4dor&3」のように不規則な文字列のパスワードよりも、「correct horse battery staple」と単語を4つ並べて文字数を稼いだほうが破られにくくなるそうだ。