パスワードの定期変更は不要:総務省が歴史的な方向転換

top_soumu.jpg

「パスワードを盗まれないようにするには、定期的なパスワードが必要」。この考えは長らく情報セキュリティの基本中の基本でした。しかし、パスワードの変更に関して総務省が大幅な方向転換を発表しました。以下でご説明します。

 

topbanner_download_3.png

 

「サービス提供者は定期変更を要求すべきではない」

soumu_1.jpg

これまで、ドメインやワークグループといった企業内のネットワーク、またはインターネットのサービスにおいて、ID・パスワードを使って認証する際には、ネットワーク管理者やサービス提供者がパスワードの定期変更を要求するのが一般的でした。例えば、「前のパスワードを設定してから90日が経過すると、ポップアップでパスワード変更の通知が表示され、7日以内に変更しないとロックされる」といったものです。

一例として、総務省の外郭団体である「独立行政法人 情報処理推進機構 (通称 IPA)」が、2012年に発表した「不正アクセス対策のしおり」という刊行物には以下のような記載があります。

ipa.PNG

(引用元: https://www.ipa.go.jp/security/antivirus/documents/04_fusei.pdf)

パスワードの盗難対策として、「紙に書き留めたまま放置しない」「パソコンに保存しない」「人に教えない」の他に、「定期的にパスワードを変更する」があります。つまり、日本政府としての公式見解は、「不正アクセスを防ぐためには、定期的にパスワードを変更すべき」というものでした。

では、なぜ「不正アクセスを防ぐためには、定期的にパスワードを変更すべき」と考えられていたのかというと、米国国立標準技術研究所 (通称NIST) が数年に一度改定している「電子的認証に関するガイドライン」には一貫して「パスワードは定期的に変更すべき」と記載されていたためです。米国の政府機関が発表するドキュメントが、事実上の電子的認証のセキュリティに関する世界標準となっており、日本政府を含む各国政府がこのガイドラインを参照に、自国向けのガイドラインを作っていたのです。

しかし、2017年6月に発表されたNISTの「電子的認証に関するガイドライン」の最新版には、「サービス提供者はパスワードの定期変更を要求すべきでない」という記載に180度方向転換されました。アメリカのメディアはこの方向転換について、パスワードを定期的に変更させられるようになると、「複雑なパスワードを作って覚えておく」よりも、「変更しても覚えていられる簡単なパスワード」を作りがちであるからと指摘されています。

・参考リンク
世界の電子認証基準が変わる:NIST SP800-63-3を読み解く

NISTのガイドライン改定から約9カ月後の2018年3月に、日本でも動きがありました。総務省の「国民のための情報セキュリティサイト」の、「安全なパスワード管理」にて、パスワード定期変更についての内容が変更されました。具体的には、以下の通りです。

これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです。また、日本においても、内閣サイバーセキュリティセンター(NISC)から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています。

情報セキュリティの主たる担当官庁である総務省のホームページでの発表は、すなわち日本政府が公式に方向転換したことを示しています。


日本政府の方向転換=日本企業の方向転換

soumu_2.jpg

情報セキュリティ関連企業、ならび大規模なインターネットサービスを運営する企業などは、2017年6月にNISTガイドラインが改訂されたタイミングから、日本においてもパスワードの定期変更が推奨されなくなることを予見して、既に対応を開始しています。

しかし、大多数の日本企業は「今になって定期変更が不要になったことを知った」ため、今後対応を行っていくことになります。具体的には、自社のネットワークやドメインにログインする際に、パスワードの定期変更を行わないよう設定変更する、または自社で運営しているインターネットサービスがあれば、こちらもユーザーにパスワードの定期変更を求めないようにプログラムを修正するといった具合です。

そして、注意しなければならないのは、パスワードの安全な管理運用は「定期変更を求めない」ことだけではありません。「同じパスワードを複数のシステム・サービスで使い回さない」「特定されやすいパスワードを避ける」「パスワードを紙に書いて保存・管理しない」といった点は、これまでと変わらずに徹底すべき内容です。そして、多くの企業で徹底ができていない内容でもあります。

現在は、業務で利用するサービス・アプリケーション(アプリ)の相当数がクラウド型に移行しています。自社で全てを管理することができないクラウド型サービス・アプリのパスワード管理を、どこまで自社で管理できるかという課題も投げかけられているのです。

 

パスワードを安全に管理する「トラスト・ログイン」は基本機能無料

soumu_3.jpg

「パスワードの定期変更を求めない」という点のみならず、企業の社内システムならび、企業で利用しているクラウドサービスのパスワード管理を包括的に行う方法として、IDaaS (クラウド型IDパスワード管理サービス)が注目されています。

これまでは、クラウドサービスを利用する際、多くの場合はユーザーにIDパスワードの管理を任せることが多かったのが実情です。これにより、パスワードを持ったまま退職した退職者が、本来アクセス権限がないのに情報を閲覧、編集できてしまうという事態が多発しています。こうした状況に対して、「ユーザーにIDパスワード管理を任せる部分」「企業側がIDパスワードを一元管理する部分」を明確にしてパスワード管理が行えるのが、IDaaSです。

例えば、クラウドサービスであっても企業が求めるパスワードの強度を保たせたい、パスワードの使い回しをやめさせたい、という場合、システム管理者が従業員が利用するクラウドサービスのIDパスワードを一元発行、一元管理できます。この場合は、従業員に各クラウドサービスへのパスワードを知らせず、ユーザーにはIDaaSへのログインパスワード1つを知らせます。この1つのパスワードで従業員は、IDaaS経由で全てのクラウドサービス、また設定を行った自社システムにもログインが可能となるのです。IDaaSへのパスワードを複雑なものとして、この1つのパスワードだけ覚えておけばよいという安全な運用が実現します。

とはいえ、各個人がそれぞれ取得したクラウドサービスのIDを使う文化、会社がそれらを一元管理することが難しい文化の会社もあります。例えば、エンジニア中心の会社で、既に多くのアプリをユーザーが独自に設定して利用しているような場合です。こうした場合、エンジニアが過去に自身で登録したID情報を、システム管理者管理に移行するのはまず無理です(抵抗されます)。このような場合は、既に利用されているクラウドサービスについてはユーザーが引き続き管理、新規に導入するクラウドサービスのみシステム管理者が管理、という管理体系を用いることも可能です。

トラスト・ログインは、GMOインターネットグループで20年以上認証局事業を行ってきた「GMOグローバルサイン」が提供するIDaaSです。IDaaSの基本機能部分を、ユーザー数、アプリ数無制限で無料で提供しています。もし、「パスワードの定期変更を求めない」という変更に伴い、貴社内のパスワード管理運用を見直したい場合は、あわせてトラスト・ログインをお試しください。

パスワードの定期変更は不要:総務省が歴史的な方向転換

top_soumu.jpg

「パスワードを盗まれないようにするには、定期的なパスワードが必要」。この考えは長らく情報セキュリティの基本中の基本でした。しかし、パスワードの変更に関して総務省が大幅な方向転換を発表しました。以下でご説明します。

 

topbanner_download_3.png

 

「サービス提供者は定期変更を要求すべきではない」

soumu_1.jpg

これまで、ドメインやワークグループといった企業内のネットワーク、またはインターネットのサービスにおいて、ID・パスワードを使って認証する際には、ネットワーク管理者やサービス提供者がパスワードの定期変更を要求するのが一般的でした。例えば、「前のパスワードを設定してから90日が経過すると、ポップアップでパスワード変更の通知が表示され、7日以内に変更しないとロックされる」といったものです。

一例として、総務省の外郭団体である「独立行政法人 情報処理推進機構 (通称 IPA)」が、2012年に発表した「不正アクセス対策のしおり」という刊行物には以下のような記載があります。

ipa.PNG

(引用元: https://www.ipa.go.jp/security/antivirus/documents/04_fusei.pdf)

パスワードの盗難対策として、「紙に書き留めたまま放置しない」「パソコンに保存しない」「人に教えない」の他に、「定期的にパスワードを変更する」があります。つまり、日本政府としての公式見解は、「不正アクセスを防ぐためには、定期的にパスワードを変更すべき」というものでした。

では、なぜ「不正アクセスを防ぐためには、定期的にパスワードを変更すべき」と考えられていたのかというと、米国国立標準技術研究所 (通称NIST) が数年に一度改定している「電子的認証に関するガイドライン」には一貫して「パスワードは定期的に変更すべき」と記載されていたためです。米国の政府機関が発表するドキュメントが、事実上の電子的認証のセキュリティに関する世界標準となっており、日本政府を含む各国政府がこのガイドラインを参照に、自国向けのガイドラインを作っていたのです。

しかし、2017年6月に発表されたNISTの「電子的認証に関するガイドライン」の最新版には、「サービス提供者はパスワードの定期変更を要求すべきでない」という記載に180度方向転換されました。アメリカのメディアはこの方向転換について、パスワードを定期的に変更させられるようになると、「複雑なパスワードを作って覚えておく」よりも、「変更しても覚えていられる簡単なパスワード」を作りがちであるからと指摘されています。

・参考リンク
世界の電子認証基準が変わる:NIST SP800-63-3を読み解く

NISTのガイドライン改定から約9カ月後の2018年3月に、日本でも動きがありました。総務省の「国民のための情報セキュリティサイト」の、「安全なパスワード管理」にて、パスワード定期変更についての内容が変更されました。具体的には、以下の通りです。

これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです。また、日本においても、内閣サイバーセキュリティセンター(NISC)から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています。

情報セキュリティの主たる担当官庁である総務省のホームページでの発表は、すなわち日本政府が公式に方向転換したことを示しています。


日本政府の方向転換=日本企業の方向転換

soumu_2.jpg

情報セキュリティ関連企業、ならび大規模なインターネットサービスを運営する企業などは、2017年6月にNISTガイドラインが改訂されたタイミングから、日本においてもパスワードの定期変更が推奨されなくなることを予見して、既に対応を開始しています。

しかし、大多数の日本企業は「今になって定期変更が不要になったことを知った」ため、今後対応を行っていくことになります。具体的には、自社のネットワークやドメインにログインする際に、パスワードの定期変更を行わないよう設定変更する、または自社で運営しているインターネットサービスがあれば、こちらもユーザーにパスワードの定期変更を求めないようにプログラムを修正するといった具合です。

そして、注意しなければならないのは、パスワードの安全な管理運用は「定期変更を求めない」ことだけではありません。「同じパスワードを複数のシステム・サービスで使い回さない」「特定されやすいパスワードを避ける」「パスワードを紙に書いて保存・管理しない」といった点は、これまでと変わらずに徹底すべき内容です。そして、多くの企業で徹底ができていない内容でもあります。

現在は、業務で利用するサービス・アプリケーション(アプリ)の相当数がクラウド型に移行しています。自社で全てを管理することができないクラウド型サービス・アプリのパスワード管理を、どこまで自社で管理できるかという課題も投げかけられているのです。

 

パスワードを安全に管理する「トラスト・ログイン」は基本機能無料

soumu_3.jpg

「パスワードの定期変更を求めない」という点のみならず、企業の社内システムならび、企業で利用しているクラウドサービスのパスワード管理を包括的に行う方法として、IDaaS (クラウド型IDパスワード管理サービス)が注目されています。

これまでは、クラウドサービスを利用する際、多くの場合はユーザーにIDパスワードの管理を任せることが多かったのが実情です。これにより、パスワードを持ったまま退職した退職者が、本来アクセス権限がないのに情報を閲覧、編集できてしまうという事態が多発しています。こうした状況に対して、「ユーザーにIDパスワード管理を任せる部分」「企業側がIDパスワードを一元管理する部分」を明確にしてパスワード管理が行えるのが、IDaaSです。

例えば、クラウドサービスであっても企業が求めるパスワードの強度を保たせたい、パスワードの使い回しをやめさせたい、という場合、システム管理者が従業員が利用するクラウドサービスのIDパスワードを一元発行、一元管理できます。この場合は、従業員に各クラウドサービスへのパスワードを知らせず、ユーザーにはIDaaSへのログインパスワード1つを知らせます。この1つのパスワードで従業員は、IDaaS経由で全てのクラウドサービス、また設定を行った自社システムにもログインが可能となるのです。IDaaSへのパスワードを複雑なものとして、この1つのパスワードだけ覚えておけばよいという安全な運用が実現します。

とはいえ、各個人がそれぞれ取得したクラウドサービスのIDを使う文化、会社がそれらを一元管理することが難しい文化の会社もあります。例えば、エンジニア中心の会社で、既に多くのアプリをユーザーが独自に設定して利用しているような場合です。こうした場合、エンジニアが過去に自身で登録したID情報を、システム管理者管理に移行するのはまず無理です(抵抗されます)。このような場合は、既に利用されているクラウドサービスについてはユーザーが引き続き管理、新規に導入するクラウドサービスのみシステム管理者が管理、という管理体系を用いることも可能です。

トラスト・ログインは、GMOインターネットグループで20年以上認証局事業を行ってきた「GMOグローバルサイン」が提供するIDaaSです。IDaaSの基本機能部分を、ユーザー数、アプリ数無制限で無料で提供しています。もし、「パスワードの定期変更を求めない」という変更に伴い、貴社内のパスワード管理運用を見直したい場合は、あわせてトラスト・ログインをお試しください。