見出し画像

パスワードは「定期変更」から「変更不要」へ(2018年発表)

Jimputer|コンピュータの力で効率化

この記事は、教職員、社員等のエンドユーザーやシステム管理者を対象としています。
職場のルールを決める際の考え方などが記載されていますので、担当者だけが理解するものではなく、全ユーザーが理解を深めていただくためにお読みいただければ幸いです

以下は、2018年に発表された政府の方針となりますが、それまでの様子を振り返りながらまとめてみました。

パスワードを取り巻く状況

どの時代でもパスワードの文字列を考えることは苦労するところです。
近年ではパスワードの作成には、セキュリティ上 文字数など最低限満たしていなければならない条件も加わり、ますます煩雑になってきました。
その中でも「パスワードの変更」に関して2018年に変化がありました
「パスワードは定期的に変更する必要はない」というものです。
こういった方針はどこで決まるのかというと、一般に事実上 世界標準となっている米国国立標準技術研究所 (NIST) が作成したガイドラインを基にして、各国がそれを参照し自国向けに総務省等が方針を策定しています。

パスワードは「定期的に変更」が常識‥でしたが

それまではどのシステムを利用する際にもパスワードは「定期的に変更」することを推奨していました。
これは同一パスワードを長く使用していると、悪意がある者が長期間にわたってり何度も施行して、いずれは特定できてしまうという理由によるものです。そのため利用しているシステムやサービスから、一定期間がすぎたためパスワードを変更するよう催促の通知がくる時代もありました。

パスワードは「定期変更する必要はない」という方向転換

ところが近年この考えとはまったく逆のアナウンスがなされました。
システム管理者は「定期変更を求めないように」という方針です。その理由として度々変更の機会があると、ユーザーは簡単で覚えやすい単語を使用したり、他システムの使いまわしが発生し、パスワードの効力が低下してしまうようになった事情からです。
システムからの不正アクセスでパスワードが漏洩したときや、アカウントの乗っ取りなどが発覚した際に、変更を行う考えになります。

セキュリティの関連書籍をみても、策定前の古い版では「定期的に変更しましょう」とあった箇所が、この方向転換があってからは「変更しなくてよい」という表現にサラッと変わっているのをみたときは衝撃的でした。

ではこの方針が示されなかった場合---つまり簡単な文字列で作成したパスワードはリスクが高いからと、長く覚えづらいフレーズを作成した場合、どのようなことが考えられるでしょうか。
結局は紙に書き留めておく必要が生じて机の上に放置したり、テキストファイルで保管しだれでも見られる状態となり、むしろリスクを上げる機会を増やすことにつながります。

そもそもアカウントは知られることを意識する

古くからシステムはユーザー個人に権限を振り分け、各々が特定の環境で操作できるよう、アカウントという概念を採用しています。
一般的に「アカウント(ID)+パスワード」という2つの要素がペアで利用されますが、とくにアカウント(ID)の部分は、職員・社員番号や氏名といった、いわば誰でも知れる情報が使用されることが一般的です。おそらくアカウントは一覧にした際に名簿的な役割としても使用するため、そのような慣習が生まれたのだと思います。
そのようなアカウントの背景から、残された砦はパスワードのみとなり、個人に任された重要な要素であるということがわかります。

パスワード強化の職場周知に関する提案

どのような方針でパスワードを作成し取り扱うかは、職場の考えで異なると思いますが、何事も決定に対して異論が沸き上がってくるものです。この件についても「重要だとは理解しているが桁数が多く扱いづらい」など、不満が出ることも予想できます。たしかに以前は桁数制限がなかったものの、記号などを含む最低8桁などと条件が厳しくなってきています。
また古くからの職場の慣習で運用がすぐには変更できないなど事情があることも多いと思います。

その際には、時代に合わせた変更が必要であるというアナウンスを行う期間を用意して、新年度や新学期などを更改のタイミングと考えて進めていきましょう。その期間もただシステム担当者だけが準備す目だけでなく、ユーザーへの啓発期間として少しずつ理解を求めていくことが必要です。
職場には一般的に複数のシステムがあるものですが、それぞれでパスワード要件が異なっていてルールを統一したい場合は、これを機にすべて同じルールを適用することも将来的に管理が楽になる準備といえます。一度に全システムを対象とするのではなく、数年の間で同じルールが適用するように順番を決めて取り組むとよいと思います。

また新しい取り組みに対しシステム担当者の苦労を軽減させるためにも、職場の事情はさておき政府のガイドラインに従ってしまうのもひとつの方法です。ガイドラインは判断基準を示したものなので強制力はありませんが、個人がゼロから考えるよりも はるかに体裁よくまとめられ、時代背景を考えた状態でまとめられています。
職場へのアナウンスも「定期変更をしないという方針は政府のガイドラインに従っている」と示せば心強いものとなります。利用者も政府が示しているのだから‥と安心感も得られ、不満も軽減されることと思います。

今回のパスワードの要点としては、以下のようになります。
・パスワードにふさわしい長めの文字列を使用
・パスワードを変更する必要はない
 ※変更を要するときは漏洩した場合など

よりよい職場ライフを!


この記事が気に入ったらサポートをしてみませんか?