複数のシステムやサービス、ネットワークを使いこなして作業することが当たり前となった今日、アカウントやパスワードの管理に頭を悩ませる現場は少なくないでしょう。
適正なアクセス権限を付与し、本人認証の仕組みを整備する担当者の業務は複雑化・煩雑化をきわめ、個々のユーザーにおいても、それぞれにパスワードを用いた認証を行う場合、そのパスワードを入力する手間が毎回生じて作業が中断され、効率の低下を招くほか、そもそもそのパスワードを記憶しておくことが著しく困難となっていました。
パスワードは容易に推定されないよう、一定以上の複雑性をもった文字列の組み合わせでなければならず、加えて一度の設定により半永久的に用いることが可能ならばまだよいのですが、安全性の観点から定期的に変更するよう求められていたため、とても覚えておくことなどできないという事態が発生していたといえます。
こうした現場の問題を解消するため、シングルサインオンサービスを中心としたさまざまなソリューションが提供され、生産性・効率性の改善と高水準での安全性の確保が同時に図れるようになってきたわけですが、今年の3月末、総務省が「安全なパスワード管理」に関する方針を180度転換、「定期的な変更は不要」としたことが大いに話題となりました。
そこで今回は、なぜこれまでセキュリティ上必要と考えられてきた変更が不要となったのか、方針転換の経緯とパスワードの定期変更に伴う負の側面について、現在の知見をご紹介します。
総務省の方針転換ですが、実は2017年11月の時点で、すでに「国民のための情報セキュリティサイト」において、
「パスワードを複数のサービスで使い回さない(定期的な変更は不要)」
(「国民のための情報セキュリティサイト」安全なパスワード管理より)
という項目の文言が追加され、アカウントが乗っ取られた、流出インシデントが生じたといった事実がなければ、変更する必要はないと案内されるようになっていたのです。
そして、定期的な変更を求めるサービスもあるものの、むしろ頻繁な変更を無理に行うことによって、作るパスワードがパターン化し類推しやすい簡単なものになってしまうこと、使い回しを招きやすいことの方が問題であるとし、デバイスやサービスごとで固有の安全性が高いパスワードを設定するよう呼びかけています。
内閣サイバーセキュリティセンター(NISC)も「情報セキュリティハンドブック」の中でパスワードの定期変更は不要という見解を示しました。同センターは、それ以前に“変更すべき”と案内したことはありませんでしたが、10桁以上の長いパスワードでなければ設定を認めないシステムが登場するなど、十分なパスワード長が確保できれば、変更する必要はないとコメントしています。
一方で、どんなパスワードでも変更が不要というわけではなく、4桁の数字などごく短いパスワードの場合は、やはり長く使用し続けるのはリスクがあり、一定期間が過ぎたら変更すべきと考えているそうです。そして長いパスワードで定期的な変更を強制してしまうと、結果的にユーザーが生年月日を用いた組み合わせパスワードなど、突破されやすいパスワードを作りがちであることが懸念されるため、変更よりも複雑さを重視、長く複雑でも管理できる体制を使い始めの時点から整えてほしいとしました。
共通する負の側面として、定期的なパスワードの変更を強く促すと、人間のとっさの発想や記憶・管理の限界などから、簡単なパスワードの設定や使い回しといったリスクの高い利用状況を作ってしまうことが意識されていると分かります。
こうした解釈がなされるようになった背景には、米国国立標準技術研究所(NIST)が2017年に発表した最新のガイドラインや国内外の各種調査結果、そもそものルール考案者による発言などもあります。
パスワードの定期変更が不正アクセスの被害防止などに有効であり、推奨されるというこれまでの常識は、NISTに勤務していたBill Burr氏の作成した「NIST Special Publication 800-63. Appendix A.」に由来するところが大きいとみられ、このパスワード管理に関するルールが2003年に発表されて以来、世界中で適用されてきましたが、近年になって定期変更の効果については疑義があるとする声も増えてきていました。
日本ネットワークセキュリティ協会も、2015年にパスワードの変更回数と不正ログインの発生確率について調査を実施、変更回数を増やしても目立った対策効果はないとする結果を報告していたのです。
こうした声が徐々に広がり、2017年にはBill Burr氏自身も、定期変更が必要としたルールは結果的に誤りで、ユーザーが用いるべきは長いパスワード、変更が必要なのは90日ごとといった定期ではなく、流出が確認された場合だけであるとコメントし、世界に誤った見解を広めたきっかけとなったことを深く後悔していると語った旨が、同年8月のWALL STREET JOURNAL(WSJ)に掲載されました。
同じ2017年に、NISTも最新ガイドラインの中で、パスワードの定期変更は不要とし、流出時に速やかな変更を行うことと明記したのです。なお異なる文字種を混在させるべきとされていたルールもなくなり、長いパスワードの設定が推奨されています。
このようにセキュリティの専門家や研究者の間では、数年前から定期変更は不要、デメリットの方がむしろ大きいと考えられてきていたところ、NISTの最新ガイドライン公開もあり、これに準拠するかたちで総務省も方針を転換したとみられているのです。
もちろんパスワードの定期変更を促しても、長く類推されにくいパスワードをユーザーが間違いなく設定できるならば、およそ問題はありません。しかし、現実には人間の対応には限界があります。
90日ごとといった定期に変更を要求すれば、たとえ初めのうちは全く新規の長いパスワードに変更できていたとしても、やがて思いつかない、面倒といったことから、すでにあるパスワードに変更した年月日を加えたものとしたり、一部を入れ替えただけで使い回したりといった行動をとってしまうようになる可能性がきわめて高いでしょう。
攻撃者は、よく用いられるパスワードやすでに流出しているパスワードリスト、各種データなどをベースに推測を行って不正ログインを試みてきますから、定期変更を促すことが攻撃者を利することになる、セキュリティレベルの低いパスワードに変えさせることになるといえるのです。
今回の定期変更を不要とするルール転換は、こうしたユーザーの行動特性に由来するところの大きなものですが、そもそもセキュリティというものは、それを使う人々の利用状況やその時代の技術環境など、変化していく要素とともにあるべきかたちが変わっていくもの、最善の対策が更新されていくものといえます。
一度知識を身につければOK、仕組みを整備すれば安心と考えるのではなく、常に最新の情報を入手するよう心がけ、必要な対策をとっていくよう努めましょう。
(画像は写真素材 足成より)