総務省指針「パスワードの定期変更は不要」リスクよもやま(2)(2018.9) 前回の「spnの眼」では、パスワードの定期変更の要否をめぐる経緯と、総務省の方向転換を経た注意点を振り返りました。 今回は、パスワードの定期変更にかかる例外や推奨されるケースをまとめていきたいと思います。 総務省は地方自治体向け情報セキュリティポリシーガイドラインでパスワードの定期変更について「どちらでも良い」という結論を出しましたが、シングルサインオンの利用の是非については未解決、あるいは地方自治体では事実上シングルサインオンを利用出来ないままです。 2018年3月に総務省がこれまでの“常識”を覆す「パスワードの定期的な変更は不要」というメッセージを発信した。この方針転換の背景にはどんな理由があるのだろうか。今後のパスワード管理も含めたユーザー認証のあり方を考察する。
総務省は2018年3月に入り、パスワードに関するセキュリティ対策の方針転換を決定。従来の「定期的なパスワード変更」を止めて、「複雑なパスワードを使い続けること」を推奨するよう呼び掛けています。米国では2016年頃から既に「パスワードを繰り返し変更するより、複雑なパスワードを使った方が良いのではないか?」という声が高まっており、この傾向は年を経るごとに段々と増加。今ではメインストリームを形成しつつあります。ところで、複雑なパスワードを用いることに異論はないものの、「何故パスワードを変更したらいけないのか?」と疑念を持つ方は多いかと思います。「変更しないより変更した方がいいんじゃないの?」と、考えるのは当然の話です。今回の方針転換は、パスワードに対する世界的な認識の変化が影響しています。これらが、セキュリティに悪影響を及ぼすのは自明の理。パスワードの頻繁な変更は知らず知らずのうちにセキュリティリスクを高めているのです。忙しい日々においてパスワードの変更は"面倒"であり、頻繁に変更を繰り返す人は、「01」を「02」に置き換える単調な変更や、「どうせ変えるから良いだろう」と覚えやすいものにする傾向にあると言われています。CyberSecurity.com All Rights Reserved.日本国内でもこの流れを受けて、2017年12月よりNICU(内閣サイバーセキュリティセンター)が方針転換を決定。恐らく、今回の総務省の決定も、この流れを汲んだものと見るのが妥当です。メルマガ登録で、下記内容の「情報漏洩セキュリティ対策ハンドブック」プレゼントですが、皆さんはパスワードの変更を繰り返すうちに、「段々と簡素で覚えやすいもの」にしていたご経験はないでしょうか。定期的なパスワード変更は、ほとんど全ての国内サイトで呼びかけられていたセキュリティー対策。その根底を覆すかのような決定に、大きな注目が集まっています。
名前及び発行者が総務省であることを確認いただき、実行すれば問題ありません。 Q. 総務省は2018年3月に入り、パスワードに関するセキュリティ対策の方針転換を決定。従来の「定期的なパスワード変更」を止めて、「複雑なパスワードを使い続けること」を推奨するよう呼び掛けていま … さらに最近、数ある生体認証方式の中でもひときわ大きな話題を呼んでいるのが、PCにも搭載されはじめて身近になってきた顔認証だ。なぜこの技術が注目されているのかというと、その背景にあるのは2020年に向けたセキュリティ対策である。テロリストや不審者の侵入を阻むべく、空港の乗客ゲートや競技施設、コンサート会場など、さまざまな公共施設や民間施設への導入・検討が進んでいる。実際、多くのWebサイトがサイバー攻撃を受け、大量の個人情報を漏えいさせる事件が頻発している。また、クレジットカード会社や銀行、ショッピングサイトなど、実在する著名な企業を装ったニセのWebサイトに誘導して個人情報を登録させるフィッシング詐欺も横行している。当然のことながら、ここに入力したパスワードも犯人に筒抜けになってしまう。厳格な社内規則がかえってパスワードの「使いまわし」という危険な行為を誘発してしまったとすれば、皮肉と言わざるを得ない。こうした基本的なポイントをしっかり理解して守ってさえいれば、パスワードの定期的な変更は不要である。では、何が危険と言っているのだろうか。国民のための情報セキュリティサイトは「定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題です」と示している。さて、この顔認証技術をPCに搭載することで、どんなメリットが得られるのだろうか。ユーザーにとって何よりも大きいのは、PCの利用が格段に「便利になる」ことだろう。従来のようにIDやパスワードを入力する手間がなく、PCを開くだけで自動的に認証が完了し、すぐに利用できるのだ。セキュリティ対策のよりどころであるユーザー認証の基本として用いられているのがパスワードだ。裏を返せばパスワードが他者に漏れると、いとも簡単に自分に成りすまされ、システムに侵入されてしまう。したがってパスワードについては特に厳重な管理が求められ、定期的な変更が義務付けられているケースは少なくない。実はこの考え方は世界的な潮流ともなっており、2017年に米国国立標準技術研究所(NIST)が発表したガイドラインにも、「サービスを提供する側がパスワードの定期的な変更を要求すべきではない」という内容が示されている。ただし、これらの生体認証方式はまだ発展途上の技術であり、国民のための情報セキュリティサイトにも「人の成長、老化などによる身体的特徴の変化によって認証が正しく行われない」「双子など身体的特徴が似ている人を誤認識する」といった課題が示されている。特に「身体的特徴は意図的に変更できない」という指摘は重要で、たとえば自分の指紋データが流失した場合にも指紋は変更できないという重大な問題をはらむだけに、生体情報を預けるシステムやサービスは信用できる相手かどうかを熟慮し厳選すべきである。もっともパスワードのみに頼ったセキュリティにはどうしても限界がある。そうした中で新たな認証方式として浮上しているのが 生体認証(バイオメトリクス認証)だ。指紋や静脈、虹彩などユーザー固有の身体的な特徴をパスワード代わりに利用するもので、他人によるなりすましはきわめて困難であると共に、パスワードを暗記したりメモを厳重に管理したりといったユーザーの不便も解消できるというメリットがある。上記のような事例も参考にしつつ、あらためて安全なパスワードのあり方を考えたい。国民のための情報セキュリティサイトでは、他人に推測されにくく、ツールなどで割り出しにくいものを 安全なパスワードとし、「名前などの個人情報からは推測できないこと」「英単語などをそのまま使用していないこと」「アルファベットと数字が混在していること」「適切な長さの文字列であること」「類推しやすい並び方やその安易な組み合わせにしないこと」といった要件を示している。これがパスワード設定で守るべき基本事項であり、あわせて電話番号や郵便番号、自動車のナンバー、生年月日、社員コードなど、他人から類推しやすい情報やユーザーIDを流用するのは絶対に避けてほしい。加えてシングルサインオン(SSO)の技術を活用すれば、覚えなくてはならないパスワードは1つだけですむ。ログイン対象のアプリケーションに認証を代行するモジュールを組み込む「エージェント方式」、Webアプリケーションやクラウドサービスのログインページに対してユーザーの代わりにID/パスワードを送信する「代理認証方式」、クラウドサービス間でパスワードの代わりにチケットと呼ばれる情報を受け渡しする「フェデレーション方式」といったSSOの仕組みが代表的だ。ところがこの“常識”を覆すような出来事が起こった。2018年3月、総務省は「国民のための情報セキュリティサイト」を改訂し、「パスワードの定期的な変更は不要」というメッセージを発したのである。具体的には「定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます」と記されている。ただし、パスワードを変更する行為そのものが危険なわけではない。この点は決して誤解しないように注意してほしい。従来の顔写真(静止画)を用いて認証を行うシステムでは、対象者を指定のカメラの正面に立ち止まらせる必要があり、ビルの入退室管理など限定的な利用にとどまっていたが、最先端の顔認証システムでは動画を用いた不特定多数同時の認証も可能となった。空港などにおけるウォークスルーでの認証テスト(カメラを意識せず立ち止まらずに歩いてくる人物を1人ずつ識別する)でも、99.2%の照合精度を達成している顔認証システムもあるという。また、指紋や静脈のようにその都度手をかざしたりする必要がないため、システム側からの“常時監視”が可能となる。端末の利用者が他人に変わった際に即座に画面をロックするなど、一時的な離席中に起こりうる不正利用を防止できるのだ。もうひとつ紹介したいのは、別企業のエンジニアB氏の事例である。B氏も会社の規約に従いアルファベットと数字、特殊文字をランダムに組み合わせた堅牢なパスワードを設定し、社内システムで用いていた。同システムには頻繁にアクセスすることから複雑なパスワードも自然と暗記することもできた。ところが問題となったのは、「このパスワードなら誰にも類推されずに安心」とB氏が過信してしまったことである。社内システムのみならず、プライベートで利用しているネット通販やブログ、ゲームなど、あらゆるWebサイトに同じパスワードを設定していたのだ。そんな中、B氏のパスワードが悪用され、社内システムから新製品の設計データが盗み出されてしまった。同じパスワードを設定していたいずれかのWebサイトからB氏の個人情報やパスワードが丸ごと流出し、勤務先を特定されてしまったのが原因のようだ。こうした観点からも生体認証方式が全面的に利用されるようになるまでには、まだしばらく時間を要すると考えられ、それまでの期間はパスワードと付き合っていく必要がある。結局のところ一人ひとりのユーザーがセキュリティ意識をしっかり持たない限り、情報漏えい事件はなくすことはできないのだ。この記事や国のガイドラインなどを参考としつつ、シングルサインオンなどパスワード管理の負担を減らす技術も効果的に活用し、セキュリティ対策をしっかり行ってほしい。また、しばしば問題となるのがパスワードの保管方法だ。まったく意味を持たない無機質なパスワードを常に暗記しておくのは困難で、やむを得ずメモなどを残している人は少なくない。そんな場合も必ずPCや端末とは別の場所で管理することが大原則であり、鍵のかかる机や金庫など安全な方法で保管してほしい。さらに先の事例でも紹介したように、あるサービスから流出したパスワードを使って、他のサービスへの不正侵入するサイバー攻撃が多発していることに留意してほしい。従って1つのパスワードを複数のサービスで使い回すのは慎むべきである。ある企業の管理職A氏は、他人から安易に類推されないようアルファベットの大文字/小文字、数字をランダムに組み合わせたパスワードを社内システムで用いていた。だが、このような意味を持たないパスワードを暗記しておくのは困難だ。しかも会社からは定期的な変更を義務付けられているのでなおさらである。仕方なくA氏はパスワードを手帳に記載し、ログインのたびに見ていた。そしてある日、A氏のパスワードが社内システムへの不正侵入に用いられ、顧客情報を持ち出されてしまった。うっかりA社がデスク上に置き忘れた手帳を、以前から会社に不満を持っていた別の社員に盗み見られてしまったのが原因だった。実際に無理なパスワード変更は、さまざまなセキュリティ事故を引き起こしている。2018年3月に総務省はパスワードの「設定と管理のあり方」を改訂し、これまでの“常識”を覆す「パスワードの定期的な変更は不要」というメッセージを発信した。この方針転換の背景にはどんな理由があるのだろうか。実際にパスワードの不正利用が原因となって頻発している情報漏えい事件の事例なども紹介しつつ、今後のパスワード管理も含めたユーザー認証のあり方を考察する。まさにこの点が重要なのだ。無理に変更しようとするあまり、かえって類推されやすいパスワードになってしまったのでは本末転倒だ。パスワードを破られてアカウントを乗っ取られたり、サービス側からパスワードが流出したりといった事実が発覚した場合のみ、即座にパスワードを変更すればよい。