パスワードの定期変更はいつなくなったのか

セキュリティ対策の基本として、パスワードの定期変更は当たり前に行われていました。しかし、2023年現在、むしろパスワードの定期変更は推奨されていません。

一体、どうしてなのでしょうか。大きな要因は、下記の2つです。

1. 2017年6月 NISTガイドライン改訂
2. 2018年3月 総務省の「安全なパスワード管理」が変更

米国や日本政府がパスワードの定期変更をどのように考えているか、押さえておきましょう。

（１）2017年6月 NISTガイドライン改訂

パスワードの定期変更は、長い間有効とされていました。

しかし、2017年6月に、NISTが「電子的認証に関するガイドライン」を改訂しました。

NISTは「National Institute of Standards and Technology」の略で、「米国国立標準技術研究所」という政府機関を指します。

NISTは、アメリカの技術革新と産業競争力を促進させることを目的とした政府機関です。

NISTが出しているガイドライン「NIST SP800-171」は、アメリカが国家的に民間企業などと取引する際に準拠を条件にしており、セキュリティの基準とされています。

「電子的認証に関するガイドライン」で改訂されたのは、サービス提供側は定期的なパスワード変更を要求するべきではないという内容です。

参照：NIST SP800-63B

NISTのガイドラインは防衛装備庁も採用しているため、この改定を受けて日本政府も動きを見せます。

参照：防衛産業サイバーセキュリティ基準の整備について

（２）2018年3月 総務省の「安全なパスワード管理」が変更

NISTの「電子的認証に関するガイドライン」の変更を受け、2018年3月に総務省運営サイト内の「安全なパスワード管理」が次のように変更されました。

 

これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所（NIST）からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです（※１）。また、日本においても、内閣サイバーセキュリティセンター（NISC）から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています（※２）。

 

（※１） NIST SP800-63B（電子的認証に関するガイドライン）

（※２） https://www.nisc.go.jp/security-site/handbook/index.html

 

引用元：安全なパスワード管理｜国民のための情報セキュリティサイト

端的にいえば、次の2点に要約されます。

1. サービス提供者はパスワードの定期変更を求めるべきではない
2. パスワードの定期変更は不要だが、流出時には速やかに変更する

 

パスワードの定期変更は不要とされ、むしろ定期的な変更でパスワードがパターン化したり、使いまわしになったりすることが問題とされています。

総務省の発表を受け、日本企業もパスワードの定期変更を廃止し始めました。

現在の「安全なパスワード」とは

現在、パスワードの定期的な変更は不要とされていますが、簡単なパスワードだとすぐに突破されてしまいます。

定期的な変更が不要になったからこそ、安全なパスワードを設定する必要があります。では、現在安全とされているパスワードとはどのようなパスワードなのでしょうか。

総務省が運営する国民のための情報セキュリティサイトでは、下記の5つの条件を満たしたものが、安全なパスワードとされています。

 

(1) 名前などの個人情報からは推測できないこと

(2) 英単語などをそのまま使用していないこと

(3) アルファベットと数字が混在していること

(4) 適切な長さの文字列であること

(5) 類推しやすい並び方やその安易な組合せにしないこと

引用元：安全なパスワード管理｜国民のための情報セキュリティサイト

名前や英単語など、簡単に推測できるパスワードはNGとされています。また、簡単な英数字の繰り返しも、容易に突破されてしまうため推奨されていません。

アルファベットと数字が混在しており、適切な長さの文字列が推奨されています。他人に推測されないような、上記の条件を満たしたパスワードを設定しましょう。

 

そもそもパスワードとは？その役割

安全なパスワードやパスワードによるセキュリティ脅威を知るために、そもそもパスワードとは何かを知っておきましょう。

パスワードについて、下記3つの点から見ていきます。

1. 認証方式は3種類ある
2. パスワードは「知識要素」
3. 「2段階認証」と「多要素認証」の違い

パスワードを扱う情シスの方は、かならず把握しておきましょう。

（１）認証方式は3種類ある

パスワードの認証方式には、主に下記の3種類があります。

1. 知識要素
2. 生体要素
3. 所持要素

知識要素は、知識として所有者の頭の中にある情報を指します。具体的には、パスワードやPINコード、秘密の質問などです。

生体要素は、所有者の体の一部を使った特徴的な情報を指します。具体的には、指紋や顔、静脈や声などです。

生体要素は近年、スマートフォンやパソコンでよく使われています。ただ、怪我などにより使えなくなる可能性があるため、複数の生体要素を登録しておいたり、他の要素と組み合わせて使ったりするのが一般的です。

所持要素は、所有者だけが持っているモノを指します。具体的には、スマートフォンやICカード、ワンタイムパスワード生成端末などです。

所持要素はモノを所有する必要があるため、紛失や盗難のリスクがあります。無効化の手順を明確にしたり、他の要素と組み合わせて使うようにしましょう。

（２）パスワードは「知識要素」

パスワードは、3種類の認証方式の中の「知識要素」に該当します。パスワードは主に所有者が決めるため、所有者の頭の中にある情報です。

ただ、パスワードは基本的に数字と英字の組み合わせで決めるため、所有者に関連があるパスワードであれば推測可能です。例えば、所有者の誕生日や名前、電話番号などがあります。

推測しやすいパスワードは覚えやすいですが、不正なアクセスの被害にあう可能性も高いです。

「パスワードの定期変更はしない」という前提であれば、覚えやすいパスワードにする必要はありません。他人には推測できないパスワードを設定しましょう。

（３）「2段階認証」と「多要素認証」の違い

パスワードに関連する言葉として、「2段階認証」と「多要素認証」があります。この2つは似ていますが、全く違う認証方法です。

まず、「2段階認証」は段階的に本人確認を行う認証方式を指します。具体的には、パスワードを入力した後に、秘密の質問を入力するケースです。

一方、「多要素認証」は2つ以上の要素を使って本人確認を行う認証方式を指します。例えば、パスワードを入力（知識要素）した後に、ワンタイムパスワード（所持要素）を入力するケースです。

「2段階認証」と「多要素認証」は、どちらも段階的に本人確認をする点では共通しています。

異なる点として、「多要素認証」は異なる要素を使って本人確認を行います。「2段階認証」は要素を問わないため、同じ要素で2回認証すれば「2段階認証」です。

そのため、パスワードを入力した後に秘密の質問を入力するケースは、2段階ではあるものの要素は一緒（知識要素）のため、「多要素認証」ではありません。

複数の要素を使う点から、「2段階認証」より「多要素認証」の方が安全です。どちらを使うか決める際は、「多要素認証」を採用するのがよいでしょう。

使いまわしたパスワードを狙った3つの攻撃

本章では、パスワードを使いまわすとどんな攻撃を受けてしまうのかを解説します。使いまわしたパスワードを狙った攻撃は、下記の3つです。

1. 辞書攻撃
2. リバースブルートフォース攻撃
3. パスワードリスト攻撃

安全なパスワードを設定する重要性を把握しておきましょう。

（１）辞書攻撃

辞書攻撃は別名「Dictionary Attack（ディクショナリーアタック）」とも呼ばれ、辞書に載っているような一般的な単語や人物名を使ってパスワードを突破する攻撃です。

攻撃者はパスワードリストを作成し、そのリストをもとに攻撃用のスクリプトを使って攻撃します。

パスワードリストには、辞書に載っている一般的な単語や人物名をまとめてリスト化しているケースが多いです。

そのため、簡単な文字列でパスワードを作成していると、辞書攻撃で突破されてしまいます。簡単なパスワードは、辞書攻撃で狙われやすいです。

（２）リバースブルートフォース攻撃

リバースブルートフォース攻撃はパスワードを固定し、ログイン・ユーザーIDで設定可能な文字列を無差別に入力する攻撃です。

brute force（ブルートフォース）は「強引に、力ずく」という意味で、文字通り力ずくでログイン突破を試みます。

リバースブルートフォース攻撃は暗証番号や、文字数の少ないパスワードを設定している場合に攻撃しやすいです。

具体例としては、ネット口座へのログインです。ネット口座へのログインで、口座番号と4桁の暗証番号でログインするタイプのものがあります。

4桁の暗証番号を固定すれば口座番号は数字のみなので、無作為に入力していればどこかでヒットする可能性は高いです。

また、4桁の暗証番号は使用する機会も多く、誕生日や単純な並びなどの分かりやすい番号で設定している方も多いです。

あらかじめ攻撃者が情報を入手していれば、効率よく攻撃されてしまう危険性があります。

（３）パスワードリスト攻撃

パスワードリスト攻撃は、どこかのウェブサイトでログインに成功したIDとパスワードをリスト化し、別のウェブサイトでも試す攻撃方法です。

複数のウェブサイトで同じIDとパスワードを使いまわしていると、パスワードリスト攻撃の被害にあってしまいます。

パスワードリスト攻撃は、辞書攻撃やリバースブルートフォース攻撃に比べると同じIDとパスワードでの試行回数が極端に少なく、検知が難しいです。

仮にすべてのウェブサイトで同じIDとパスワードを使っていたら、どこかからIDとパスワードが流出すると、すべてのウェブサイトにログインできてしまいます。

パスワードリスト攻撃を防ぐためにも、同じIDとパスワードの組み合わせは使わないようにしましょう。

パスワードの定期変更の代わりにできる3つのこと

本章では、パスワードのセキュリティを強化するため、パスワードの定期変更より有効な手段を紹介します。

パスワードの定期変更の代わりにできことは、主に下記の3つです。

1. パスフレーズを使う
2. 多要素認証を取り入れる
3. SSO＋多要素認証を取り入れる

簡単な解決策を探している方は、参考にしてください。

（１）パスフレーズを使う

パスフレーズを使うと、セキュリティを強化可能です。パスワードが4～8文字なのに対し、パスフレーズは10文字以上の文字列を指します。

パスワードだと短いため、辞書攻撃などで攻撃されやすいです。パスフレーズにすると推測が難しくなり、攻撃を受けにくくなります。

パスフレーズを作る際は、文章で考えると作りやすいです。例えば、ことわざや好きな言葉をいくつかつなぎ合わせると、覚えやすく長いパスフレーズになります。

ただ、楽曲や映画などのあまりに有名な言葉だと、推測されてしまう可能性があります。そのため、使う言葉は吟味し、一つだけではなくいくつか組み合わせるのがおすすめです。

（２）多要素認証を取り入れる

多要素認証を取り入れると、セキュリティを強化可能です。多要素認証とは複数の要素を取り入れてログインする仕組みで、下記3つの要素のうち2つ以上の要素を取り入れます。

1. 知識要素
2. 生体要素
3. 所持要素

具体的には、パスワード（知識要素）を入力してから、ワンタイムパスワード（所持要素）を入力してログインする仕組みです。

また、パスワード（知識要素）を入力してから指紋認証（生体要素）をしてログインする場合も、多要素認証に該当します。

パスワードは無作為に文字を当てはめれば、いつかは当たるかもしれません。ログイン要素がパスワードのみだと、パスワードが分かった時点でログインされてしまいます。

しかし、多要素認証だと、パスワードが分かっても、他の要素が突破できなければログインされません。指紋やスマートフォンは所有者しか持っていないため、生体要素や所持要素を同時に満たすのは難しいでしょう。

（３）SSO＋多要素認証を取り入れる

SSOはシングルサインオンの略で、一度のログインで複数のサービスを利用可能にするシステムです。

通常はサービスごとにIDとパスワードを設定する必要がありますが、SSOを導入すれば、一つのIDとパスワードで複数サービスを利用できます。

サービスごとにIDとパスワードを設定すると、簡単な文字列にしたり使いまわしをしたりしやすいです。すると攻撃されやすく、一つのIDとパスワードが漏れてしまうと、他のサービスにもログインされてしまいます。

SSO導入すれば一つのIDとパスワードで済み、簡単なパスワードにする必要はありません。多要素認証に対応していないシステムでも、SSOにより多要素認証にできます。

また、SSOへのログインを多要素認証にすれば、よりセキュリティを強化できます。SSO＋多要素認証にすれば、相当セキュリティが高いといってよいでしょう。

 

まとめ｜強力なパスワードなら定期変更は不要！

パスワードの定期変更は長年当たり前とされてきましたが、強力なパスワードなら定期変更は不要です。

むしろ、定期変更すると、簡単なパスワードにしやすかったり使いまわしたりするリスクがあります。

使いまわしのパスワードを狙った攻撃や、定期変更より効果的な対策があります。本記事で紹介しているため、参考にしてください。