パスワードの定期変更は“しない方がいい”? 今求められる2つの対策:半径300メートルのIT(1/2 ページ)
セキュリティ対策を語る上でパスワードに関する議論は避けては通れません。最近は、これまで常識だと思っていたパスワード対策が実は推奨されていないこともあります。知識をアップデートし、現状に即した“本当に有効な対策”を考えましょう。
セキュリティ情報を収集するとき、その情報がどこから発信されるかによって、捉え方が変わる方が多いと思います。その意味で、信頼できる(はずの)発信元のトップは「国」なのかもしれません。しかし実際には「国」の取り組みは「ジブンゴト化」が難しく、なかなか自分からアクセスしにいこうと思わないのも事実です。
そのため同コラムでは、セキュリティ担当者の役に立つ国の取り組みについても積極的に情報を発信していきたいと思います。今回はセキュリティを考える上で外せない「パスワード」の話題をピックアップしてみました。まずは総務省の取り組みから取り上げていきましょう。
パスワードの定期変更は“しない方がいい”って知っていましたか?
総務省は「国民のためのサイバーセキュリティサイト」を公開しています。2024年5月にリニューアルしたばかりのこのWebサイトで、少し話題になっていたページがありました。それは「安全なパスワードの設定・管理」です。
ここでは“基本的なパスワードの作り方”や“べからず集”を解説するとともに、「パスワードを複数のサービスで使い回さない(定期的な変更は不要)」と、明示的に定期変更のデメリットを伝えており話題になりました。
パスワードの定期変更については、これまでもさまざまな議論がありました。議論の中身としては、「定期変更の禁止」というよりは、「定期的な変更を要求すべきではない」というのが正しいところです。ただ、やったつもりになりがちなこのセキュリティ対策が、想像以上の効果を発揮できないであろうという点は、直感と現実の違いがあることを知る、良いケーススタディーかもしれません。
このページでは触れていませんが「秘密の質問」も同様にセキュリティレベルを上げるための方法としては推奨できません。皆さんの企業が提供しているサービスにこれを使っているようであれば、上記のWebサイトなどを参照しつつ、そもそもそのような“セキュリティ対策”を実行しないように改修した方がいいでしょう。
「インターネットの安全・安心ハンドブックVer 5.00」でも秘密の質問は利用者の立場から「秘密の質問にはまじめに答えない」と記されている(出典:内閣サイバーセキュリティセンター(NISC)「インターネットの安全・安心ハンドブックVer 5.00」)
Copyright © ITmedia, Inc. All Rights Reserved.