ShellShockに管理者はショック！ パスワード定期変更の議論どころではない？：セキュリティクラスター まとめのまとめ 2014年9月版（1/3 ページ）

2014年9月はまた、大きな大きな脆弱性に振り回されました。その裏では、セキュリティクラスターのみんなが大好きなあの議論も……

[山本洋介山（bogus.jp），＠IT]

連載目次

　2014年9月は、先月に引き続き3s3s.orgの話題で盛り上がっていましたが、それをかき消すかのように今年何度目かの「パスワードの定期変更」議論が沸き起こりました。その他にもパスワードの桁数や秘密の質問など、パスワード関連のことが数多く話題に上りました。

　身構えていた中国からの攻撃も目立った動きはないままシルバーウィークを終え、何事もなく9月は終わるかと思ったのですが……やはりそんなわけにはいかず、Bashの大きな脆弱（ぜいじゃく）性「ShellShock」が猛威を振るい、たくさんの人が巻き込まれてしまいました。

パスワードの定期変更って、広告するほど効果のあるもの！？

　パスワード定期変更の是非は、何カ月かに一度は議論になっています（それはまるでパスワードの変更通知のように……）。今回は情報処理推進機構（IPA）が募集した公告の要件に、定期的なパスワード変更が入っていたことをきっかけに、Twitterのタイムライン上でまたまた議論が巻き起こりました。

　IPAによる公募は「ID・パスワードのセキュリティ対策促進に関する広告等業務」

にかかる企画競争というもので、

• ID・パスワードは定期的に変更する
• サービスごとに異なるパスワードを設定する
• パスワードは分かりにくい文字列（8文字以上、記号を含む）を設定する

のいずれかの対策事例を用いて「ID・パスワードのセキュリティ対策」をテーマにした広告展開を企画、実施するというものでした。

　これに対し、パスワードの定期変更にはちょっと一家言あるセキュリティクラスターが、「日本のセキュリティの総本山ともいえるIPAがそんなこと要求するのはいかがなものか」と盛り上がります。

　中でも多かった意見は、「サービスごとに異なるパスワードを設定する」「分かりにくい文字列をパスワードにする」の二つと同列に「パスワードの定期変更」を並べるのはどうなのかということと、これらのいずれかを対策とするという要件であるため、パスワードの定期変更だけを採用してしまうと、根本的な対策にはならないのではないかという意見です。

　それに対し、@keijitakeda氏から「必ずしも駄目とも思えない、一律にパスワードの定期変更をあざ笑うような風潮を広めることはあまりよくない」と反論がありました（なお、@keijitakeda氏は基本的にパスワードの定期変更には反対の立場だそうです）。

　@keijitakeda氏に対して、たくさんの反論ツイートが向かいます。まとめると、定期変更は一定の効果はあるのは分かってはいるけれど、あくまでも他の2つの補助的な役割に過ぎないので、ここでいずれかの対策に含めるのは不適当なのでは？ という意見でした。

　その後も会話がうまく噛み合わないまま、議論ツイートだけは交わされていき、パスワードの定期変更に関する意見が流れるだけで、本来の議論である「根本的な対策としてパスワードの定期変更を推すのはどうなの？」に戻ることはありませんでした。

　IPAがTwitter上の議論を見ていたのかは分かりませんが、結局2014年9月9日に「ID・パスワードは定期的に変更する」という訴求内容は削除されました。パスワードの定期変更が要件に入っていてもいいじゃないかと主張する人は、なんのためにツイートしているのかよくわからない状態になり議論は終わりを告げましたが、またいつ再燃するかは分かりません。