ここから本文です

パスワードの定期変更、強制はダメ? その理由は

5/30(火) 11:23配信

ITmedia エンタープライズ

 アメリカの科学研究機関NIST(米国国立標準技術研究所)が発行する「デジタル認証のガイドライン」(DRAFT NIST Special Publication 800-63B Digital Identity Guidelines)が、間もなくドラフトから正式版になる予定です。

【画像】米国国立標準技術研究所のガイドラインに「パスワードの定期変更」について疑問を呈する一文が……

 実は、ここには「利用者に対し、パスワードの定期変更を促すべきではない」という一文があり、大きな注目を集めていました。

Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically) and SHOULD only require a change if the subscriber requests a change or there is evidence of compromise of the authenticator.

 正確には“パスワードを定期変更してはいけない”というよりも、「運用者側が利用者に対し、定期変更を強いてはいけない」というニュアンスであることに注目してください。

 冷静に考えると、「情報漏えいしてから定期変更するまでの期間は認証を突破できてしまう」ので、定期変更でリスクを回避できるパターンはごく限られています。そんなリスク回避のメリットよりも、“ただでさえ覚えられないパスワードを変更させる”ことで、社員がどんどん簡単なパスワードを設定してしまったり、情報システム部に何度もパスワードリセットの問い合わせをしたり――といったように、デメリットの方が多いのではないかと思います。

 ただし個人的には、「あるパターンの運用」だけは、パスワードの定期変更ともう1つのお願いをしたいと思っています。万が一、そのパターンに合致する人は、本記事を熟読の上、今すぐ「2つのお願い」を実行してください。

●「パスワードの定期変更が必須」の運用とは

 今すぐにパスワードの定期変更を行うべき運用とは、「部署で共通のアカウントを使っている」というケースです。例えばファイルサーバや社内システム、部署ごとのVPNなどで、部署ごとにアカウントがあり、それを部内で共通で使っているケースがこれに当たります。

 恐らく情報システム部が関係するような全社システムではなく、部署ごとに導入したサービスなどが該当するのではないかと思います。いわゆる「シャドーIT」に近いものかもしれません。

 この場合、部署の新入社員へ渡すドキュメントなどをもう1度調べてみてください。業務をこなすための資料に、もし「パスワード」が書かれていたとしたら、それこそが部署共通アカウントでしょう。このアカウントに関しては、いますぐ、パスワードを定期的に変更する運用を取ってください。

 このようなアカウント運用をしている部署は恐らく、人が異動したあとや退職したあとでも同じアカウントを運用しているはずです。そうすると、部署の人間ではない人がアカウントにログインできる可能性が出てきてしまいます。

 1つ目のお願いは、共通アカウントを運用している場合は、少なくとも1カ月に1回はパスワードを定期変更しようということです。

●実はリスクが大きすぎる! そもそもの問題は

 そしてもう1つのお願いは、「共通アカウントの廃止」です。これはパスワードの定期変更よりも先にやってほしいこと。そもそも共通アカウントなど使うべきではないので、「一人ひとりにアカウントとパスワードを配る」という運用に、即時変更すべきです。変更したらもちろん、「パスワードを定期変更させるように促す」ようなことはしないでください。そもそもの元凶は、共通アカウントなのですから。

 運用の手間は増えるでしょうが、これは“利用者を守ることでもある”と考えてください。

 例えば、「誰かが社内の情報を勝手に閲覧したり、持ち出したりする情報漏えい事件」が起きたとすると、それが明らかになった時点で、企業には詳細な経緯と原因を明らかにすることが求められます。これはまさに時間との闘いになるわけですが、その時、もし共通アカウントが存在したら、そのアカウントとパスワードを知っている全ての人間が「被疑者」になりえてしまうのです。

 こうなると、調査のために多くのメンバーが仕事をできなくなる上、何も悪いことをしていなかった「仲間」を社内で疑うことになり、当然、社内士気も下がるでしょう。つまり、共通アカウントの廃止は、問題のあるアカウントを絞る上でも有用ということ。「共通アカウントの廃止が仲間を守る」というのはそういう理由なのです。

 このように、ごく限られた運用パターンではパスワードを定期変更すべきですが、本来は“そのような運用自体”を改める必要があります。もし、あなたの企業が共通アカウントを持っているのなら、企業、部署、そしてあなたを守るためにもその運用を見直すよう、検討してもらってください。もちろん、パスワードの定期変更という運用も見直してもらってくださいね。