総務省指針「パスワードの定期変更は不要」リスクよもやま(2)(2018.9) 前回の「spnの眼」では、パスワードの定期変更の要否をめぐる経緯と、総務省の方向転換を経た注意点を振り返りました。 今回は、パスワードの定期変更にかかる例外や推奨されるケースをまとめていきたいと思います。 安全なパスワード管理.
「パスワード定期変更不要論」について、NIST Special Publication 800-63Bの該当部分は「5.1.1.2 Memorized Secret Verifiers」にある以下の段落だ。 Verifiers SHOULD NOT impose other composition rules (e.g., requiring mixtures of different character types or prohibiting consecutively repeated characters) for memorized secrets.
これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所(nist)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです(※1)。 総務省は地方自治体向け情報セキュリティポリシーガイドラインでパスワードの定期変更について「どちらでも良い」という結論を出しましたが、シングルサインオンの利用の是非については未解決、あるいは地方自治体では事実上シングルサインオンを利用出来ないままです。 今年3月、パスワードの管理に関して総務省の推奨が発表されて話題になった。これまでの常識とされていた「パスワードは定期的に変更すべし」ではなく、複雜なパスワードであれば変更しない方がいいというのだ。では複雜なパスワードとは? そのつくり方とは?
2018年3月に総務省がこれまでの“常識”を覆す「パスワードの定期的な変更は不要」というメッセージを発信した。この方針転換の背景にはどんな理由があるのだろうか。今後のパスワード管理も含めたユーザー認証のあり方を考察する。 総務省は2018年3月に入り、パスワードに関するセキュリティ対策の方針転換を決定。従来の「定期的なパスワード変更」を止めて、「複雑なパスワードを使い続けること」を推奨するよう呼び掛けています。 定期的 ある企業の管理職A氏は、他人から安易に類推されないようアルファベットの大文字/小文字、数字をランダムに組み合わせたパスワードを社内システムで用いていた。だが、このような意味を持たないパスワードを暗記しておくのは困難だ。しかも会社からは定期的な変更を義務付けられているのでなおさらである。仕方なくA氏はパスワードを手帳に記載し、ログインのたびに見ていた。そしてある日、A氏のパスワードが社内システムへの不正侵入に用いられ、顧客情報を持ち出されてしまった。うっかりA社がデスク上に置き忘れた手帳を、以前から会社に不満を持っていた別の社員に盗み見られてしまったのが原因だった。まさにこの点が重要なのだ。無理に変更しようとするあまり、かえって類推されやすいパスワードになってしまったのでは本末転倒だ。パスワードを破られてアカウントを乗っ取られたり、サービス側からパスワードが流出したりといった事実が発覚した場合のみ、即座にパスワードを変更すればよい。2018年3月に総務省はパスワードの「設定と管理のあり方」を改訂し、これまでの“常識”を覆す「パスワードの定期的な変更は不要」というメッセージを発信した。この方針転換の背景にはどんな理由があるのだろうか。実際にパスワードの不正利用が原因となって頻発している情報漏えい事件の事例なども紹介しつつ、今後のパスワード管理も含めたユーザー認証のあり方を考察する。上記のような事例も参考にしつつ、あらためて安全なパスワードのあり方を考えたい。国民のための情報セキュリティサイトでは、他人に推測されにくく、ツールなどで割り出しにくいものを 安全なパスワードとし、「名前などの個人情報からは推測できないこと」「英単語などをそのまま使用していないこと」「アルファベットと数字が混在していること」「適切な長さの文字列であること」「類推しやすい並び方やその安易な組み合わせにしないこと」といった要件を示している。これがパスワード設定で守るべき基本事項であり、あわせて電話番号や郵便番号、自動車のナンバー、生年月日、社員コードなど、他人から類推しやすい情報やユーザーIDを流用するのは絶対に避けてほしい。ところがこの“常識”を覆すような出来事が起こった。2018年3月、総務省は「国民のための情報セキュリティサイト」を改訂し、「パスワードの定期的な変更は不要」というメッセージを発したのである。具体的には「定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます」と記されている。加えてシングルサインオン(SSO)の技術を活用すれば、覚えなくてはならないパスワードは1つだけですむ。ログイン対象のアプリケーションに認証を代行するモジュールを組み込む「エージェント方式」、Webアプリケーションやクラウドサービスのログインページに対してユーザーの代わりにID/パスワードを送信する「代理認証方式」、クラウドサービス間でパスワードの代わりにチケットと呼ばれる情報を受け渡しする「フェデレーション方式」といったSSOの仕組みが代表的だ。実はこの考え方は世界的な潮流ともなっており、2017年に米国国立標準技術研究所(NIST)が発表したガイドラインにも、「サービスを提供する側がパスワードの定期的な変更を要求すべきではない」という内容が示されている。もうひとつ紹介したいのは、別企業のエンジニアB氏の事例である。B氏も会社の規約に従いアルファベットと数字、特殊文字をランダムに組み合わせた堅牢なパスワードを設定し、社内システムで用いていた。同システムには頻繁にアクセスすることから複雑なパスワードも自然と暗記することもできた。ところが問題となったのは、「このパスワードなら誰にも類推されずに安心」とB氏が過信してしまったことである。社内システムのみならず、プライベートで利用しているネット通販やブログ、ゲームなど、あらゆるWebサイトに同じパスワードを設定していたのだ。そんな中、B氏のパスワードが悪用され、社内システムから新製品の設計データが盗み出されてしまった。同じパスワードを設定していたいずれかのWebサイトからB氏の個人情報やパスワードが丸ごと流出し、勤務先を特定されてしまったのが原因のようだ。従来の顔写真(静止画)を用いて認証を行うシステムでは、対象者を指定のカメラの正面に立ち止まらせる必要があり、ビルの入退室管理など限定的な利用にとどまっていたが、最先端の顔認証システムでは動画を用いた不特定多数同時の認証も可能となった。空港などにおけるウォークスルーでの認証テスト(カメラを意識せず立ち止まらずに歩いてくる人物を1人ずつ識別する)でも、99.2%の照合精度を達成している顔認証システムもあるという。また、指紋や静脈のようにその都度手をかざしたりする必要がないため、システム側からの“常時監視”が可能となる。端末の利用者が他人に変わった際に即座に画面をロックするなど、一時的な離席中に起こりうる不正利用を防止できるのだ。ただし、パスワードを変更する行為そのものが危険なわけではない。この点は決して誤解しないように注意してほしい。実際、多くのWebサイトがサイバー攻撃を受け、大量の個人情報を漏えいさせる事件が頻発している。また、クレジットカード会社や銀行、ショッピングサイトなど、実在する著名な企業を装ったニセのWebサイトに誘導して個人情報を登録させるフィッシング詐欺も横行している。当然のことながら、ここに入力したパスワードも犯人に筒抜けになってしまう。厳格な社内規則がかえってパスワードの「使いまわし」という危険な行為を誘発してしまったとすれば、皮肉と言わざるを得ない。こうした基本的なポイントをしっかり理解して守ってさえいれば、パスワードの定期的な変更は不要である。さらに先の事例でも紹介したように、あるサービスから流出したパスワードを使って、他のサービスへの不正侵入するサイバー攻撃が多発していることに留意してほしい。従って1つのパスワードを複数のサービスで使い回すのは慎むべきである。さらに最近、数ある生体認証方式の中でもひときわ大きな話題を呼んでいるのが、PCにも搭載されはじめて身近になってきた顔認証だ。なぜこの技術が注目されているのかというと、その背景にあるのは2020年に向けたセキュリティ対策である。テロリストや不審者の侵入を阻むべく、空港の乗客ゲートや競技施設、コンサート会場など、さまざまな公共施設や民間施設への導入・検討が進んでいる。また、しばしば問題となるのがパスワードの保管方法だ。まったく意味を持たない無機質なパスワードを常に暗記しておくのは困難で、やむを得ずメモなどを残している人は少なくない。そんな場合も必ずPCや端末とは別の場所で管理することが大原則であり、鍵のかかる机や金庫など安全な方法で保管してほしい。こうした観点からも生体認証方式が全面的に利用されるようになるまでには、まだしばらく時間を要すると考えられ、それまでの期間はパスワードと付き合っていく必要がある。結局のところ一人ひとりのユーザーがセキュリティ意識をしっかり持たない限り、情報漏えい事件はなくすことはできないのだ。この記事や国のガイドラインなどを参考としつつ、シングルサインオンなどパスワード管理の負担を減らす技術も効果的に活用し、セキュリティ対策をしっかり行ってほしい。では、何が危険と言っているのだろうか。国民のための情報セキュリティサイトは「定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題です」と示している。さて、この顔認証技術をPCに搭載することで、どんなメリットが得られるのだろうか。ユーザーにとって何よりも大きいのは、PCの利用が格段に「便利になる」ことだろう。従来のようにIDやパスワードを入力する手間がなく、PCを開くだけで自動的に認証が完了し、すぐに利用できるのだ。実際に無理なパスワード変更は、さまざまなセキュリティ事故を引き起こしている。ただし、これらの生体認証方式はまだ発展途上の技術であり、国民のための情報セキュリティサイトにも「人の成長、老化などによる身体的特徴の変化によって認証が正しく行われない」「双子など身体的特徴が似ている人を誤認識する」といった課題が示されている。特に「身体的特徴は意図的に変更できない」という指摘は重要で、たとえば自分の指紋データが流失した場合にも指紋は変更できないという重大な問題をはらむだけに、生体情報を預けるシステムやサービスは信用できる相手かどうかを熟慮し厳選すべきである。セキュリティ対策のよりどころであるユーザー認証の基本として用いられているのがパスワードだ。裏を返せばパスワードが他者に漏れると、いとも簡単に自分に成りすまされ、システムに侵入されてしまう。したがってパスワードについては特に厳重な管理が求められ、定期的な変更が義務付けられているケースは少なくない。もっともパスワードのみに頼ったセキュリティにはどうしても限界がある。そうした中で新たな認証方式として浮上しているのが 生体認証(バイオメトリクス認証)だ。指紋や静脈、虹彩などユーザー固有の身体的な特徴をパスワード代わりに利用するもので、他人によるなりすましはきわめて困難であると共に、パスワードを暗記したりメモを厳重に管理したりといったユーザーの不便も解消できるというメリットがある。
ただ、上記を受けて、パスワードの変更は絶対にするなという意味に誤解しないよう注意する必要があります。「何が何でもパスワード変更は間違いだった」との考えは危険です。今後、個人で利用するシステムやサービスはパスワードの定期的な変更を求めることはなくなっていくものと思われます。ただ、組織の最重要情報へアクセスするためのパスワードや、組織の一部の限定された人間だけが扱う基幹システムにおいて、ログインパスワードが一つしか設定されていない場合などはこれまで同様に定期的なパスワード変更が必要であることに注意が必要です。また、基本ソフトである「ウィンドウズ」は、アップデートを経て日に日にセキュリティを増していますが、一部バージョンにはかつて、深刻な脆弱性が存在していました。一般の利用者が管理者になりすますことができたり、管理者のパスワードが残されてしまったりしたのです。例えば利用しているサービスの提供元が情報流出事故を起こし、パスワードも漏えい被害に遭った場合や、誰かがなりすましてSNSやクラウドサービスを悪用する恐れがある場合は当然速やかにこれまで使っていたパスワードを変更すべきです。その他にも例外的に定期変更すべき場合があります。それが、一つのアカウント(ID/パスワード)を複数の人間が使いまわしている場合です。このようなアカウント運用をしている部署は恐らく、人が異動したあとや退職したあとでも同じアカウントを運用しているはずです。そうすると、部署の人間ではない人がアカウントにログインできる可能性が出てきてしまうということになります。例えば、①上記の脆弱性が発覚する前=対応が困難な時期に、社員のパソコンに情報システム部門が管理者権限でログインして設定を施したところ、②そのパソコンを窃取した第三者が、パソコン内に残されていた管理者権限のパスワードを解読し、その権限を奪取する…といったことも可能になってしまいます。退職した人間も同様です。退職し組織と無関係になったにもかかわらず、最重要情報にアクセスできる権限が残っているリスクはとても高いと言えます。総務省はパスワードの定期変更を単純に否定しているのではなく、「複雑で推測しにくいパスワードであれば流出・漏えいがない限り定期的な変更の必要はない」ということを指していることに注意が必要です。どういうことかというと、短い周期でパスワードの変更を強いると、利用者は解析されやすい単純化されたパスワードを設定してしまう傾向があり、むしろセキュリティの強度を低下させてしまうことがあるということです。そうした背景から、「むやみに定期変更を強いることはやめよう」というのが、政府が方針を変更した意図と考えられます。そして、定期的に変更する必要がない程度に「複雑なパスワード」を用いることが推奨されるようになったというわけです。© 2020 Security Protection Network Co.,Ltd.
企業・組織におけるパスワードは、ユーザ名と組み合わせることで企業・組織内の情報資産へのアクセスの可否を決める重要なものです。 パスワードの重要性を再認識して、適切なパスワード管理を心がけましょう。.