パスワードの定期変更は“しない方がいい”? 今求められる2つの対策
セキュリティ情報収集時、情報発信元によって捉え方が変わることが多い。信頼できる発信元は「国」である可能性があるが、国の取り組みはジブンゴト化が難しく、アクセスしづらい現実もある。
総務省のサイバーセキュリティサイトでは、安全なパスワードの設定・管理に関する情報を提供しており、定期的なパスワード変更のデメリットも明示的に伝えている。
パスワードの定期変更に関する議論や秘密の質問についても触れられており、効果的なセキュリティ対策について考えさせられる内容となっている。
セキュリティ情報を収集するとき、その情報がどこから発信されるかによって、捉え方が変わる方が多いと思います。その意味で、信頼できる(はずの)発信元のトップは「国」なのかもしれません。しかし実際には「国」の取り組みは「ジブンゴト化」が難しく、なかなか自分からアクセスしにいこうと思わないのも事実です。
そのため同コラムでは、セキュリティ担当者の役に立つ国の取り組みについても積極的に情報を発信していきたいと思います。今回はセキュリティを考える上で外せない「パスワード」の話題をピックアップしてみました。まずは総務省の取り組みから取り上げていきましょう。
総務省は「国民のためのサイバーセキュリティサイト」を公開しています。2024年5月にリニューアルしたばかりのこのWebサイトで、少し話題になっていたページがありました。それは「安全なパスワードの設定・管理」です。
ここでは“基本的なパスワードの作り方”や“べからず集”を解説するとともに、「パスワードを複数のサービスで使い回さない(定期的な変更は不要)」と、明示的に定期変更のデメリットを伝えており話題になりました。
パスワードの定期変更については、これまでもさまざまな議論がありました。議論の中身としては、「定期変更の禁止」というよりは、「定期的な変更を要求すべきではない」というのが正しいところです。ただ、やったつもりになりがちなこのセキュリティ対策が、想像以上の効果を発揮できないであろうという点は、直感と現実の違いがあることを知る、良いケーススタディーかもしれません。
このページでは触れていませんが「秘密の質問」も同様にセキュリティレベルを上げるための方法としては推奨できません。皆さんの企業が提供しているサービスにこれを使っているようであれば、上記のWebサイトなどを参照しつつ、そもそもそのような“セキュリティ対策”を実行しないように改修した方がいいでしょう。
