パスワードの定期変更は“しない方がいい”? 今求められる2つの対策:半径300メートルのIT(1/2 ページ)
セキュリティ対策を語る上でパスワードに関する議論は避けては通れません。最近は、これまで常識だと思っていたパスワード対策が実は推奨されていないこともあります。知識をアップデートし、現状に即した“本当に有効な対策”を考えましょう。
この記事は会員限定です。会員登録すると全てご覧いただけます。
セキュリティ情報を収集するとき、その情報がどこから発信されるかによって、捉え方が変わる方が多いと思います。その意味で、信頼できる(はずの)発信元のトップは「国」なのかもしれません。しかし実際には「国」の取り組みは「ジブンゴト化」が難しく、なかなか自分からアクセスしにいこうと思わないのも事実です。
そのため同コラムでは、セキュリティ担当者の役に立つ国の取り組みについても積極的に情報を発信していきたいと思います。今回はセキュリティを考える上で外せない「パスワード」の話題をピックアップしてみました。まずは総務省の取り組みから取り上げていきましょう。
パスワードの定期変更は“しない方がいい”って知っていましたか?
総務省は「国民のためのサイバーセキュリティサイト」を公開しています。2024年5月にリニューアルしたばかりのこのWebサイトで、少し話題になっていたページがありました。それは「安全なパスワードの設定・管理」です。
ここでは“基本的なパスワードの作り方”や“べからず集”を解説するとともに、「パスワードを複数のサービスで使い回さない(定期的な変更は不要)」と、明示的に定期変更のデメリットを伝えており話題になりました。
パスワードの定期変更については、これまでもさまざまな議論がありました。議論の中身としては、「定期変更の禁止」というよりは、「定期的な変更を要求すべきではない」というのが正しいところです。ただ、やったつもりになりがちなこのセキュリティ対策が、想像以上の効果を発揮できないであろうという点は、直感と現実の違いがあることを知る、良いケーススタディーかもしれません。
このページでは触れていませんが「秘密の質問」も同様にセキュリティレベルを上げるための方法としては推奨できません。皆さんの企業が提供しているサービスにこれを使っているようであれば、上記のWebサイトなどを参照しつつ、そもそもそのような“セキュリティ対策”を実行しないように改修した方がいいでしょう。
「インターネットの安全・安心ハンドブックVer 5.00」でも秘密の質問は利用者の立場から「秘密の質問にはまじめに答えない」と記されている(出典:内閣サイバーセキュリティセンター(NISC)「インターネットの安全・安心ハンドブックVer 5.00」)Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 「VMwareは20年前のテクノロジーの寄せ集め」Broadcomトップのコメントに見るITインフラの今後
- 「失敗は許されない」は時代遅れ ガートナーが示す新しいセキュリティの考え方
- 自社用LLM構築にむけて RAG評価ってどうやればいいの? 最新フレームワーク「Auepora」をチェック
- なぜ、AIの社内活用は進まないのか? PwC調査で判明した「コスト」以外の要因
- SAP×WalkMeが「最強ではないかもしれない」理由 買収のネガティブ要素を解説
- Cloudflareの無料VPN「WARP」を悪用してクラウドサービスを乗っ取るサイバー攻撃に要注意
- 日本一創業しやすい街を目指した炭鉱の街、飯塚 デバイスの多様化とAIの進化で新たな取り組みへ
- 「サイバー攻撃はお金がかかる」 当たり前の結論から見えた新たな気付き
- ここが変わった「Microsoft Teams」 アップデート情報を総まとめ
- Windows SmartScreenの脆弱性を悪用した攻撃 その手口は?
ITmediaはアイティメディア株式会社の登録商標です。