パスワードの「定期的な変更は不要」だが注意点も 総務省がサイバーセキュリティサイトで呼びかけ

[井上翔，ITmedia]

　総務省が5月26日、インターネットを使う際に気を付けるべき事項をまとめたWebサイト「国民のためのサイバーセキュリティサイト」をリニューアルした。

• →国民のためのサイバーセキュリティサイト

　このサイトに掲載された、Webサービスなどで用いるパスワードの設定に関する記載が一部で注目を集めている。

リニューアルされた「国民のためのサイバーセキュリティサイト」

定期的なパスワード変更は不要

　本サイトでは、サイバー空間でのセキュリティを確保するために心掛けるべき事項を「サイバーセキュリティの三原則」という形でまとめている。

• →サイバーセキュリティ初心者のための三原則

　三原則は「ソフトウェアを最新に保とう」「強固なパスワードの設定と多要素認証を活用しよう」「（Webサイトやダウンロードしたアプリを）不用意に開かない・インストールしない」と、内容的には当たり前といえば当たり前……なのだが、今回注目を集めているのが、2つ目に掲げられた“パスワード”についての説明だ。

　パスワードについての説明は、以下の2つのページに分かれている。

• →推測できる簡単なパスワードを利用しないようにしよう
• →安全なパスワードの設定・管理

　これらのページでは、安全なパスワードとして「最低でも10文字以上の文字数で構成されるある程度長いランダムな英数字の並びとし、パスワード内に数字や記号、アルファベット（大文字、小文字）が混ざっていることが好ましい」としている。

　逆に、危険なパスワードとして「IDと同じ文字列」「自分や家族の名前、電話番号、生年月日」「辞書に載っているような一般的な英単語ひとつだけ」「同じ文字の繰り返しやわかりやすい並びの文字列」「短すぎる文字列」を挙げている。

　そして極め付きには「パスワードを複数のサービスで使い回さない」とある。これも当たり前なのだが、この節の以下の記載が注目を集めているのだ。

（中略）

なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られる等のサービス側から流出した事実がない場合は、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。

（以下略）

　要するに、パスワードを定期的に変えると、パスワードを使い回したり簡単にしたりしてしまう傾向があって、むしろ危険というわけだ。ただし、ページの解説にもある通り、パスワードを定期的に変えるとむしろ危険であるということは、2017年から指摘されており、日本でも政府の最新ガイドラインにおいてパスワードは漏えいの事実があった際に変更すればよい旨の記載がなされている。

• →インターネットの安全・安心ハンドブック（内閣サイバーセキュリティセンター）

パスワードを定期的に変更すると、むしろ漏えいリスクが高まる

　「複雑なパスワードは覚えられない！」という人は、ページに記載されている通りパスワード管理アプリやWebブラウザのパスワード生成機能をうまく使うことで対処できる。また、生体認証やSMS／メール認証などを組み合わせた多要素認証を併用すれば、安全性は一層高まる。