総務省の「国民のための情報セキュリティサイト」には「パスワードの定期的な変更は不要」という記述がある。
2018年中ごろに大手メディアが取り上げたため、記憶に残っている方も多いことだろう。この背景には、NIST(米国立標準技術研究所)が発行する「電子的認証に関するガイドライン(NIST Special Publication 800-63B」に加わった一文の存在が大きい。
「5.1.1.2 Memorized Secret Verifiers」では、「検証者はパスワードについて、異なる文字種の混合要求や連続文字の禁止といったルールを課すべきではない。また、検証者はパスワードを任意(たとえば定期的)に変更することを要求すべきではない。だが、パスワードの侵害の証拠がある場合、変更を強制するものとする」(筆者による意訳)との説明がある。これを見る限り、多くの報道は一部を抜き出したものといえるだろう。
「パスワードの定期的な変更は不要」という説明は行き過ぎの感が否めないものの、総務省の説明を熟読すれば、パスワードの管理における重要性は理解できる。
なぜ、この話を枕として持ち出したかといえば、Microsoftが米国時間2019年4月24日に公開した公式ブログである。Windows 10 バージョン1903および、Windows Server バージョン1903に関するセキュリティ構成基準設定のドラフトをリリースしたという内容だが、今後「パスワードの有効期限」ポリシーを削除するという。
-
一連のWindowsではポリシー設定でパスワードの有効期限を設定できる
Microsoftはポリシー削除を提案した理由について、「パスワードの長さや履歴、複雑さに関する最小限に抑えるための要件変更は提案しない」と前置きしつつ、「パスワードが盗まれていない場合は、期限切れにする必要はない。パスワードが盗まれた証拠がある場合は、有効期限が切れるのを待って問題を解決するのではなく、すぐに行動することを推奨する」と述べている。
つまりこれはNISTのガイドラインに沿ったものになっている。同社はパスワードを有効期限切れにして、ユーザーへ定期的に変更をうながすのは「非常に低い価値で古い時代遅れの緩和策」と断じる。
ただし、今回の仕様変更は機能自体を削除するものではなく、Microsoftは「必要に応じてパスワードの有効期限を設定することができる」としながらも、「MFA(多要素認証)やAzure ADのパスワード保護などの代替手段を推奨する」と述べている。
近年はパスワード自体の有効性に疑問が投げ掛けられるようになり、クラウドサービスにログインする際は自分のスマートフォンで認証を行う二要素認証が使われるようになった。
そのスマートフォンも顔認証や指紋認証といった生体認証が主軸だ。PCでもWindows HelloによるWindows 10へのサインインがない時代に戻ることは難しい。
とある企業では毎月全社員のパスワードを乱数生成し、配布していたが、この4月から取りやめたという。その話を聞いて時代錯誤と感じた筆者自身は、定期的な変更は行っておらず、Have I Been Pwned?と連携したFirefox Monitorにメールアドレスを登録し、Google ChromeにはPassword Checkupをインストールしている。
-
「Have I Been Pwned?」の実行結果。筆者の仕事用メールアドレスも流失している(すでに対策済み)
しかり、これで万全にはほど遠く、「用心しないよりはマシ」という程度だ。早くあらゆるサービスが多要素認証に対応し、スマートフォンよりもスムーズな認証方法の発案を、セキュリティ専門家方々に期待したい。
阿久津良和(Cactus)
