IT時事ネタキーワード「これが気になる!」(第152回)パスワード変更をユーザーに要求しない新ガイダンスを米国政府機関が発表

時事潮流 デジタル化

公開日:2024.11.19

  • PDF PDF
  • ボタンをクリックすることで、Myクリップ一覧ページに追加・削除できます。追加した記事は、「Myクリップ」メニューからいつでも読むことができます。なお、ご利用にはBiz Clipに会員登録(無料)してログインする必要があります。

 パスワードといえば、パソコンやスマホでネット上のサービスなどにアクセスするために欠かせない認証システムの一部だ。パスワードは、今までその取り扱いが長らく議論され、一般的に「パスワードは8文字以上」「他人に推測されにくい文字列」「大文字小文字に数字や記号を混ぜる」などの他、「定期的に変更する」べき、と言われてきた。

米国立標準技術研究所(NIST)が、新しいガイダンス「SP800-63B」を発表

 ところが米国政府機関のNIST(米国立標準技術研究所)による「電子認証に関するガイドライン」の2024年8月の公開草案において、「パスワードを定期的に変更することをユーザーに要求“してはならない”」としたとのニュースが流れ、話題となった。

 ちなみにNIST「SP800-63B」の「3.1.1 Passwords」の「3.1.1.2 Password Verifiers」の「6」に、「パスワードの定期的な変更を要求すべきではない」ことと「流出時には速やかに変更する」と書かれている。

 とはいえ、長年「パスワードは定期的に変更すべき」が常識、にわかには受け入れにくい気持ちも大きい……。例えば、筆者が使っているネット銀行は、ログイン時に「パスワードが長い間変更されてない」というメッセージとともに、変更画面への案内がパスワード変更の完了まで表示されることがあった。いまだにパスワード設定画面には「パスワードの定期的な変更をおすすめします」と書かれている。

 2024年5月リニューアルの総務省「国民のためのサイバーセキュリティサイト」の「安全なパスワードの設定・管理」には、パスワードの重要性を再認識して、適切なパスワード管理を心がけることを示唆するとともに、アカウントを不正に利用されないようにするため、「推測されにくい安全なパスワードを作成し、他人の目に触れないよう適切な方法で保管することが大切」と案内している。そして、この「安全なパスワードの設定・管理」を読んでいたら、ここにもパスワードの「定期的な変更は不要」という記述があり驚いた。「これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです」とある。

 さらに2023年1月の内閣サイバーセキュリティセンター「インターネットの安全・安心ハンドブック」にも同様の記述がある。というわけで、NISTのガイドラインに基づく「パスワードの定期的な変更は不要」と、政府のサイトで2年近く記述されているものの、ほぼ浸透していない。筆者も上記のニュースで知った次第だ。さらにはNISTが2017年つまり7年も前からパスワードの定期変更不要の方向を示して事実にも驚いた。

頻繁な変更がかえって脆弱なパスワードの使用につながる?…

続きを読むにはログインが必要です

\ かんたん入力で登録完了 /

会員登録3つのメリット!!

  • 最新記事をメールでお知らせ!
  • すべての記事を最後まで読める!
  • ビジネステンプレートを無料ダウンロード!

執筆=青木 恵美

長野県松本市在住。独学で始めたDTPがきっかけでIT関連の執筆を始める。書籍は「Windows手取り足取りトラブル解決」「自分流ブログ入門」など数十冊。Web媒体はBiz Clip、日経XTECHなど。XTECHの「信州ITラプソディ」は、10年以上にわたって長期連載された人気コラム(バックナンバーあり)。紙媒体は日経PC21、日経パソコン、日本経済新聞など。現在は、日経PC21「青木恵美のIT生活羅針盤」、Biz Clip「IT時事ネタキーワード これが気になる!」「知って得する!話題のトレンドワード」を好評連載中。

【TP】

審査 24-S1007

あわせて読みたい記事

「時事潮流」人気記事ランキング

連載バックナンバー

IT時事ネタキーワード「これが気になる!」

オンラインセミナー動画

  • 新着記事

配信日時

2025年1月10日(金)①14時00分〜15時00分 ②18時00分~19時00分

セキュリティ関連

【京都府警サイバー対策本部登壇!】企業を取り巻くサイバー攻撃の動向と対策