結局、パスワードの定期変更は不要なのか、必要なのか：今さら聞けない「セキュリティ基礎の基礎」（3）（1/2 ページ）

パスワードの方針について総務省は2004年に「パスワードを定期的に変更するように」と総務省のサイトで呼び掛けていました。しかし、2018年に「パスワードの定期変更は不要」と内容を一変させ、話題となりました。今回はパスワードの定期変更について、米国の状況や、定期変更が必要となるパターンを見直してみます。

[久山真宏，東京電機大学]

今さら聞けない「セキュリティ基礎の基礎

　利用者を特定するための基本的な手段としてIDとパスワードを用いた方法（認証）が広く利用されています。しかし、この方法はIDとパスワードの組み合わせが分かれば、誰でもその人になりすますことができます。特にパスワードは機密性が高いため、漏えいしないように厳格な管理が求められます。

　「パスワードの定期変更は不要」と一様に思われがちですが、必ずしもそうとは言い切れません。今回はパスワードの定期変更について解説します。

総務省の見解

　2004年、総務省はパスワードが漏えいした場合、パスワードを定期的に変更していれば、被害を防ぐことができるため、パスワードの定期変更を推奨していました。

2004年の総務省「国民のための情報セキュリティサイト」から抜粋

　しかし2018年には、パスワードの作り方がパターン化して容易に推測されやすくなるリスクやパスワードを使い回すことを助長しかねないことから、パスワードの定期変更に関する内容を変更しました。例えばパスワードを「password1」から「password2」に変更（下1桁の数字が増えた）する場合、変更前のパスワード「password1」から現在のパスワード「password2」を推測することは比較的容易となり、定期的に変更する効果は低くなります。

　そのため、以下の条件を満たし、複数のサービスで異なるパスワードを設定している場合は、パスワードが漏えいした事実が確認できない限り、定期的にパスワードを変更する必要はないと方針を変更しました。

1. 名前などの個人情報からは推測できないこと
2. 英単語などをそのまま使用していないこと
3. アルファベットと数字が混在していること
4. 適切な長さの文字列であること
5. 類推しやすい並び方やその安易な組み合わせにしないこと

　総務省が内容を変更した背景には、米国立標準技術研究所（NIST）が発表したID運用についての報告書があります。

米国の状況

　2017年5月にNISTが出した「Digital Identity Guidelines」でも「パスワードの定期変更は不要」と記載されています。この内容によると、以下の条件を満たす場合はパスワードの定期変更は不要となっています。

• パスワードは8文字以上（パスワードジェネレータを用いてランダムに設定される場合は6文字以上）
• パスワードは最低64文字までの長さを許可する
• 複雑さの要件を課さない（大文字を1個、小文字を1個、数字を1個、特殊文字を1個のようなケース）
• ASCIIやUnicodeに定義されている文字はパスワードとして利用可能とする（スペースを含む）
• パスワードがUnicodeで設定される場合、NFKC（Normalization Form Compatibility Composition：正規化形式KC）やNFKD（Normalization Form Compatibility Decomposition：正規化形式KD）で正規化する
• 秘密の質問は求めない
• パスワードのヒントを表示しない
• 以下のパターンに合致しない
1. 過去に漏えいしたパスワード
2. 辞書に含まれる文字列
3. 繰り返しまたはシーケンシャルな文字列（繰り返し例「aaaaa」、シーケンシャル例「12345」）
4. サービス名や名前など推測可能な文字列

　総務省の提示した内容との大きな違いとしては、総務省はパスワードに英語と数字の混在を推奨している半面、NISTでは複雑さの要件を課さないことを推奨しています。これは、NISTでは細かなパターン分けされたルール（詳細は原文をご確認ください）が記載されており、さらにパスワードに求める条件も多いことから、これらの要件を満たしている場合は複雑さの要件が必要とはならず、むしろパスワードの作り方がパターン化しないように不要と記載していると考えられます。