これまで不正なアクセスを防ぐためには、パスワードは定期的に変更すべきとされてきました。
当然、各企業の情報システムやいろいろなWebサービスにおいても、定期的なパスワード変更が求められてきました。
しかし現在においては、「パスワードの定期変更は不要」とされています。
この記事ではパスワードの定期変更がなぜ不要とされているのかについて解説していきます。
パスワードの定期変更は不要
現在、セキュリティの観点から「パスワードの定期変更は不要」とされています。
これまでパスワードは定期的に変更すべきとされていましたが、なぜ現在は不要とされているのでしょうか?
パスワードの定期変更が不要である理由
2018年から総務省の「国民のための情報セキュリティサイト」では次のように書かれています。
利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。
総務省「国民のための情報セキュリティサイト」より
むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。
定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。
つまり、セキュリティのためにパスワードを定期的に変更することよりも、むしろパスワードを定期的に変更することで作り方がパターン化し単純なパスワードになりやすいことや、複数のサービスで同じパスワードを使い回してしまうことのほうが問題だとされています。
また内閣サイバーセキュリティセンターの「インターネットの安全・安心ハンドブック」にも次のように書かれています。
十分に複雑で使い回しのないパスワードを設定し、実際にパスワードを破られアカウントを乗っ取られたり、サービス側から流出したりした事実がないのならば、基本的にパスワードを変更する必要はありません。
内閣サイバーセキュリティセンター「インターネットの安全・安心ハンドブック」より
強固なパスワードが設定されていることを前提に、パスワードが盗まれたり流出した事実がないのであればパスワードを変更する必要はないとしています。
定期的にパスワードを変更することよりも、複雑で使い回しのないパスワードを最初に設定するということが重要です。
なお、パスワードの定期変更を不要とする方針については、2017年に米国国立標準技術研究所(NIST)から、サービスを提供する側がパスワードの定期的な変更を要求すべきではないというガイドラインが示され、日本もそれに準拠したという背景があります。
パスワードの定期変更は無意味?
パスワードの定期変更がセキュリティ的に無意味というわけではありません。
パスワードを定期的に変更する場合、毎回複雑で強固なパスワードを設定しているというのであれば、セキュリティのレベルも高く意味のある運用だと思います。
しかし多くの人にとって、毎回複雑で十分な文字数のパスワードを設定するというのはとても負荷の高い作業であり、どうしてもパスワード自体がパターン化したり単純化したりするという恐れがあります。
であれば定期的なパスワード変更を求めるよりも、より強固なパスワードの設定を求めたほうがセキュリティレベルが保たれるということです。
安全なパスワードとは?
パスワードの定期変更が不要である代わりに重要なことは次の2つです。
「同じパスワードを使い回さないこと」というのはわかりますが、「安全なパスワード」とはどのようなパスワードが “安全” と言えるのでしょうか。
総務省の「国民のための情報セキュリティサイト」では次のようなパスワードが安全なパスワードとされています。
- 名前などの個人情報からは推測できないこと
- 英単語などをそのまま使用していないこと
- アルファベットと数字が混在していること
- 適切な長さの文字列であること
- 類推しやすい並び方やその安易な組合せにしないこと
逆に次のようなパスワードは危険なパスワードとして挙げられています。
- 自分や家族の名前、ペットの名前
- 辞書に載っているような一般的な英単語
- 同じ文字の繰り返しやわかりやすい並びの文字列
- 短すぎる文字列
また、内閣サイバーセキュリティセンターの「インターネットの安全・安心ハンドブック」では、次のようなパスワードが安全なパスワードとして推奨されています。
- 英大文字小文字+数字+記号混じりで10桁以上
なかなかこれだけの文字種を使って10桁以上というのは、設定するのも記憶するのも大変に感じます。
ただ、定期変更が不要であることを考えれば、これぐらい複雑なパスワードを設定することが理想であると言えるかもしれません。
まとめ
パスワードの定期変更がなぜ不要とされているのかについて解説しました。
パスワードの定期変更は不要
- 定期的にパスワードを変更することよりも複雑で使い回しのないパスワードを最初に設定するということが重要
パスワードの定期変更は無意味?
- 定期変更がセキュリティ的に無意味というわけではない
- しかし毎回複雑なパスワードを設定するのは負担の大きい作業
- 定期変更よりも強固なパスワードを設定したほうがセキュリティレベルが保たれる
安全なパスワードとは?
- 理想は「英大文字小文字+数字+記号混じりで10桁以上」
PCやスマホを利用する上で行うべきセキュリティ対策はパスワードだけではありません。
さまざまなセキュリティの脅威から身を守るためにはセキュリティ対策の基本を確実に行い、パスワード以外にもトータル的な対策を実施しましょう。