パスワードポリシーの正解とは。運用しやすい4つのポイント

schedule　2018/05/25　 refresh　2023/11/08

アプリケーションをダウンロードするときや、ウェブサービスを利用するときなどには、必ずといって良いほど、パスワードの入力が求められます。

悪意のある第三者は、不正アクセスするために常にパスワードを狙っています。リスクを軽減しつつ、運用しやすいパスワードポリシーとはどのようなものでしょうか。

パスワードポリシーとは、パスワードに使用できる文字数や、文字の種類などの使用方法を定めた規則のことです。パスワードに制限を設けることによって、リスクを軽減し、高いセキュリティを維持することができると考えられています。

パスワードは短ければ短いほど、簡単なものになり、不正アクセスされるリスクが高まります。そのため、最低文字数を設定し、パスワードの長さを一定の文字数以上、確保しなければなりません。

パスワードの文字数は8文字以上、できれば12文字以上にすることが望まれます。最近では、パスフレーズを推奨する動きもあります。

パスワードに名前や誕生日などの個人情報や、英単語などの文字列を設定すると、第三者から類推されやすく、ツールなどの機械的な攻撃によって、第三者に簡単に割り出されてしまいます。そのため、パスワードは推測されにくい文字列を使わなければなりません。

パスワードには、数字、大文字、小文字、記号などを全て組み合わせるようにしましょう。

辞書に載っている英単語（passwordなど）や、簡単な英数字の繰り返し（123456、abcdefなど）も避けるように定めておきます。ユーザーIDと同じパスワードもNGです。

悪意のある第三者は、何度もパスワードを入れて、有効なパスワードを入手しようと試みます。不正アクセスを防ぐためには、アカウントロックアウトに関する制限を設定しなければいけません。

まずは、アカウントロックアウトの閾値を設定しましょう。これは、ユーザーがログオンに失敗できる回数です。

パスワードの入力に連続して失敗した場合は、一定時間後に、再度ログオンできるできるようにしておきます。これは、ユーザーがパスワードを忘れてしまったことなどに対応するものです。悪意のある第三者がロックアウトされた場合も、正規のユーザーがスムーズにログオンできるための対策でもあります。

運用者の負担を軽減するためにも、ロックアウト期間を設定するようにしておきましょう。

これまでは、パスワードの定期変更はセキュリティ上有効な手段であると考えられ、IT業界を中心に常識になりつつありました。

しかし、アメリカの科学研究機関NIST（アメリカ国立標準技術研究所）は、「デジタル認証のガイドライン」の中で、「利用者に対し、パスワードの定期変更を促すべきではない」と記述しています。

パスワードの定期変更を強制されてきたユーザーは、覚えやすいパスワードを使用したり、定期変更時に1文字だけを変更したりするなど、手を抜くようになってしまいました。これでは悪意のある第三者にすぐにパスワードを見破られてしまい、結果的にセキュリティレベルを下げてしまうことになりかねません。

パスワードを定期的に変更しても、ユーザーが安全なパスワードを設定していなければ意味がないのです。定期変更を促すパスワードの有効期限を設定することは誤りとまではいえませんが、設定しない方が良い場合もあります。

有効期限を設定しない場合には、パスワードの最低文字数を64文字以上とし、パスフレーズを推奨することや、生体認証を導入するなどし、セキュリティレベルを高めるようにすると良いでしょう。

ユーザー一人一人が管理しなければいけないパスワードが増加し、パスワード管理は煩雑さを増しています。

そのため、パスワードを忘れてしまったことによる相談が増え、ヘルプデスクにはアカウントロックの解除やパスワードのリセットのリクエストが多数寄せられます。これでは、ユーザーも運用者も疲弊してしまいます。

パスワードの定期変更のようにセキュリティ上有効であると考えられていたことが、かえってセキュリティレベルを下げてしまっている可能性もあります。

今回ご紹介したセキュリティポリシーを定める際の4つのポイントを参考に、高いセキュリティの実現と、ユーザー、運用者双方の負担軽減を目指してみてはいかがでしょうか。

（画像はphoto ACより）