結局、パスワードの定期変更は不要なのか、必要なのか：今さら聞けない「セキュリティ基礎の基礎」（3）（2/2 ページ）

パスワードの方針について総務省は2004年に「パスワードを定期的に変更するように」と総務省のサイトで呼び掛けていました。しかし、2018年に「パスワードの定期変更は不要」と内容を一変させ、話題となりました。今回はパスワードの定期変更について、米国の状況や、定期変更が必要となるパターンを見直してみます。

[久山真宏，東京電機大学]

パスワードは定期的に変更すべきなのか

　ここまで、総務省とNISTの内容を紹介しました。これらの要件を満たしていればパスワードの定期変更は不要ともいえますが、パスワード定期変更の可否に明確な解答はありません。パスワード定期変更の可否による問題が明確になっておらず、国や時代によっても方針が異なることを考えると、こうすればいいといった明確な解がないことがうかがえます。

　では、どうするのがいいのかというと、今のところは、システムの現状を明確にした上で、総務省やNISTのようなパスワードの運用に関する公開されたベストプラクティスに従うのがいいのではないかと考えます。

　具体的には、IDを利用しているユーザーを考えたときに、IDにひも付くユーザーが1人だけのパターンと複数人のパターンが挙げられるため、この2パターンからパスワードの定期変更可否について考えてみます。

IDにひも付くユーザーが1人のパターン

　多くの場合はこのパターンが該当するでしょう。前述したNISTや総務省のベストプラクティスはこのパターンに該当します。

　このパターンの場合は「パスワードの定期変更は不要」と言いたいところですが、注意点があります。それは、組織がPCI DSSのような他のベストプラクティスに準拠している、もしくは準拠する予定がある場合です。パスワードの定期変更が要件になっている可能性があります。ベストプラクティスにより認証を取得しているような場合、その認証が外れる危険性があるため、認証元に確認した上で対応方針を検討する必要があります。

　また、パスワードがユーザー以外の人（管理者含む）でも閲覧できるような場合もパスワードの定期変更を推奨します。例えば、管理の都合でアカウント一覧を作成しており、その一覧にパスワードが平文で記載されているような場合や、パスワードが平文でデータベースに保存されているような場合があります。システムの管理者とはいえ、ユーザーのパスワードが見えているのは、ある意味「パスワードが漏えいしている」状態です。NISTや総務省のベストプラクティスに従った場合でも、漏えいしている場合はパスワードを変更する必要があるといえます。

IDにひも付くユーザーが複数人のパターン

　この場合は共有アカウントやサーバの管理者ユーザー（rootやadministrator）が挙げられます。結論から言えば、このパターンではパスワードの定期変更を行うことを推奨します。

　組織の部署やチーム、グループ内で共有しているアカウント（ID）がある場合、人事異動などによって人員が別の部署へ移動になっても、パスワードが知られていれば利用することができます。

　例えば、Aシステムの運用では、運用担当者全員が共通アカウント「usera」を用いてシステムのあるサーバにアクセスし、スイッチロールでシステムの設定を行える権限を持ったアカウント「systema」に切り替えてシステムの運用、保守しているとします。この場合、運用担当者は全員「usera」と「systema」のパスワードを知っていることになります。運用担当者が人事異動によりシステムを操作する必要がなくなったとしても、パスワードが変更されていなければシステムにアクセスできる可能性があります。

　また、サーバへのアクセスにパスワードではなく鍵認証を行っていた場合でも同じことが言えます。専用のネットワークを介する必要がある場合でも、何かしらの脆弱（ぜいじゃく）性により、専用ネットワークへアクセスできた場合はシステムを操作できることになります。異動後に漏えいする危険性もあることから定期的に変更することでリスクの低減を図ります。

　なおサーバへの接続には、SSHの鍵認証を行っていることが多いと思いますが、SSHの鍵認証においても同様のリスクが存在するため、変更することが望まれます。しかし、鍵の管理手順が必要になり、パスワードよりも手間がかかるため、必要に応じて鍵管理ツールの導入も視野に入れて検討します。

まとめ

　このように、本稿ではパスワードの定期変更の実施可否について、一様にパスワードの定期変更は不要にはならないことを述べました。

　パスワードの定期変更が不要になる条件として共通するのは、長いパスワードであり、推測困難で複雑さが求められます。これは、パスワードは漏えいしていなくともパスワードをハッシュ化した値（ハッシュ値）が漏えいした場合も視野に入れているように感じます。ダークウェブなどにはIDとハッシュ値の組み合わせが漏えいしていることがあります。ハッシュ値は不可逆であるため問題ないように思われがちですが、短い文字列の簡単なパスワードであれば「レインボーテーブル」のようなテクニックを駆使すればハッシュ値から元のパスワードを得ることも容易に行えます。

　また、パスワードが漏えいした事実が確認できなければ定期変更は不要となっていることから、逆にパスワードが漏えいしているかどうかを調査する必要性を感じます。無料でパスワードの漏えい有無の調査ができるサービスとして下記があるため、まずは現状把握をしてみてはいかがでしょうか。

• Have I Been Pwned
• Norton「個人情報」流出チェックツール

　どちらのサービスもメールアドレスのパスワード漏えいチェックが主になります。その他の漏えいを検知するサービスとしては有料ではありますが脅威インテリジェンス（スレッドインテリジェンス）を活用した漏えい検知サービスがあります。

　ちなみに、パスワードを用いた運用は考える視点が多く、セキュリティの観点から懸念があります。技術の進歩に伴い、より複雑な運用が求められるようになっている現状では、高いセキュリティを実現するには多要素認証の導入も視野にご検討ください。

　本稿がパスワードの運用を考える上での一助になれれば幸いです。

著者プロフィール

久山 真宏（くやま まさひろ）

東京電機大学　サイバー・セキュリティ研究所　研究員

Security Operations Center（SOC）のセキュリティアナリストを経て、現在、外資系コンサルティングファームでコンサルタントとして勤務。セキュリティを中心としたコンサルティング業務を担当。会社と兼務で東京電機大学サイバー・セキュリティ研究所でセキュリティや人工知能の研究に従事