コンサルティングSaaSの販売と運用会社概要ブログ採用お問い合わせ
IT Admin Blog>パスワードの定期的な変更は逆効果? パスワードの安全性を高めるためにやるべきこと
パスワードの定期的な変更は逆効果? パスワードの安全性を高めるためにやるべきこと
#Keeper
//images.ctfassets.net/soy4k0zl1vej/5XIbNZJ8B6xC4Lo534kt0P/172d9f9dfc8ef79dbdab6988d0a6f171/public
inagawa
2022/02/17

パスワードの定期的な変更は不要?

長らく、パスワードの定期変更は不正アクセスを防ぐ有効な手段とされてきました。しかし、2016年頃から米国ではパスワードの定期変更を要求しない方が良い、という意見が出され、日本でも、2018年に総務省から「定期変更は不要である」との指針が示されました。
安全なパスワード管理|国民のためのサイバーセキュリティサイト
総務省の政策(行政運営の改善、地方行財政、選挙、消防防災、情報通信、郵政行政など)、組織情報、所管法令、報道資料、会議資料等を掲載しています。
favicon
www.soumu.go.jp
og:image
これまで有効な手段とされてきた定期変更が、「不要」と言われるようになった背景には、「パスワードの定期変更がむしろリスクをもたらす」と看做されるようになったことが挙げられます。
頻繁にパスワードの変更を求められると、覚えやすいパスワードにしたり、変更前と似た語句を使用してしまうことがあります。覚えやすいパスワードは、他人が類推しやすくなり、安全性が損なわれてしまうのです。安全性の低いパスワードに変更してしまうリスクを避けるために、むしろパスワードの定期変更は必要ない、と言われるようになったのです。
ちなみに、パスワード管理ツールを提供するNordPassは、よく使われるパスワードランキングを毎年発表しています。
Top 200 Most Common Passwords List | NordPass
Explore NordPass' 5th annual 200 most common passwords list. Discover password t...
favicon
nordpass.com
og:image
こういった、わかりやすいパスワードや生年月日など類推攻撃(パスワードを推測して攻撃を行う手法)に弱いパスワードはリスクが高いと言わざるえません。
Keeper の紹介ページ・問い合わせはこちら

パスワードの安全性を高めるためにやるべきこと

安全なパスワードとは、他人に推測されにくく、ツールなどの機械的な処理で割り出しにくいものを指します。では、安全なパスワードを作成・運用していくためのガイドラインはどのようなものなのでしょうか。以下では、内閣サイバーセキュリティセンターが発行している「インターネットの安全・安心ハンドブック」(以下、NISCハンドブック)で示されているパスワードポリシーについてご紹介します。
インターネットの安全・安心ハンドブック - NISC
favicon
security-portal.nisc.go.jp

NISCハンドブックのパスワードポリシー

パスワードに用いるのは英大文字小文字+数字+記号の88種類の文字・記号。これらの文字・記号を用いて、10桁以上の長さにすることが推奨されています。
さらに、機器間でのパスワードの使い回しは絶対にしないこと。似たパスワード、法則性が透けるパスワード (例えば、A銀行の口座パスワードはP@SS01、B銀行の口座パスワードはP@SS02…というような法則があるパスワード) も危険とされています。
加えて、パスワードの管理についても、「パスワードを使用するデバイス・デスクの近くにパスワードやパスワードのヒントを置く」ことや「Webブラウザの自動入力機能にパスワードを記憶させる」という行為が危険とされてい ます。パスワードの管理には、手帳やノートを使用するか、パスワード管理ツールを利用しましょう。
パスワードを忘れた場合の「秘密の質問」にも注意を払う必要があります。正直に自分の個人情報を質問の解答にしてしまうと、悪意を持った第三者が、SNSなどを通じてあなたの個人情報を割り出してし、不正なログインに成功してしまうかもしれません。「秘密の質問」にはできる限り個人情報とは関係ない解答を用意し、それを記憶するようにしましょう。
例)「母親の旧姓」 → あめりかがっしゅうこく
また、パスワードの定期変更は必要ありませんが、パスワードが流出した恐れがある場合は、直ちにパスワードの変更を行いましょう。

複雑なパスワードを簡単に生成、記録できるパスワードマネージャを使いましょう

最近のウェブブラウザーには、パスワードを生成したり、保存してくれる「パスワードマネージャー」機能を提供しているものが多くあります。例えば、Google Chromeのは以下のようなパスワードマネージャーを搭載しています。
パスワードを管理する - パソコン - Google Chrome ヘルプ
favicon
support.google.com
パスワードマネージャーによって保存されたパスワードは簡単な操作で確認することができます。従ってパスワードを記憶させたパソコンやスマートフォンは他人からのアクセスを防ぐことが重要です。端末に設定するパスワードや暗証番号は他人から容易に推測されないようにするとともに、目を離した隙に乗っ取られないよう自動ロックを設定しましょう。また、ソフトウェアやOSをこまめにアップデートする、不審なサイトやアプリを利用しないなどの心がけも重要です。もちろん、自分以外の人が使う可能性のある端末(インターネットカフェや学校の共有パソコンなど)にはパスワードを覚えさせてはいけません。
法人・組織での利用では、さらに注意が必要です。会社で利用している 業務アカウントのIDとパスワードを個人のGoogleアカウントでログインしているGoogle Chromeブラウザに覚えさせてしまうと、個人で使っているパソコンやスマートフォンに同期されてしまい会社のアカウント情報が私物の端末を経由して漏洩する可能性があります。
また、退職する際に後任者に引継ぎせずにパスワードを削除してしまったり、、逆に退職時にパスワードを削除しないことで退職後も会社のアカウントを用いて機密情報にアクセスできてしまうリスクもあります。
こうした事態を回避するために、会社・組織では適切にブラウザを管理し、ブラウザ内蔵のパスワード保存機能をオフにした上で、Keeperなど法人向けに特化したパスワードマネージャーのご利用をお勧めします。

まとめ

10年前までは、パスワードの定期的な変更は割と当たり前の対策でした。しかし、サイバー犯罪も高度化していく中で、より実効性の高い対策として、根本的に難しいパスワードを利用することが重要になってきております。
ぜひ、これを機会にご利用されているパスワードを見直されてみては如何でしょうか?
30日トライアルを申し込む
<<< Next Post
パスワードを「*******」のまま共有する方法
Previous Post >>>
Keeper導入事例 ワンチーム様
Keeper の関連記事
Related Posts
2024/04/30
#Keeper#ZUNDA
パスワードマネージャーの乗り換え成功のポイント!
Keeper への乗り換えを成功させるために、抑えるべきポイントをご案内します。
2024/01/19
#Keeper
Keeper Admin Console (管理者向け機能) v16.16.0 リリース
Keeper の管理者向け機能が v16.16.0 にアップデートされました。機能更新について簡単にまとめます。
2023/10/15
#Keeper
Keeper を語ろう! #2
数あるパスワードマネージャーのなかで なぜZUNDAは、Keeper を選んだのか、営業とカスタマーサポートチームの想いについて語りました。
Privacy Policy
Public Notice
© ZUNDA Inc.