IT時事ネタキーワード「これが気になる！」（第152回）パスワード変更をユーザーに要求しない新ガイダンスを米国政府機関が発表

　「安全なパスワードの設定・管理」には「パスワードはできる限り、複数のサービスで使い回さないようにしましょう」「実際にパスワードを破られアカウントが乗っ取られる等のサービス側から流出した事実がない場合は、パスワードを変更する必要はありません」とあり、むしろ定期的な変更をすることで、パスワードの作り方がパターン化して推測しやすくなることや、使い回しをすることが大きな問題、とされている。

　最近の攻撃者は、ユーザーのパスワードの使い回しを想定して、盗用したアカウント情報で他のサービスへのログインを試みることもあるという。実際、筆者も以前、SNSアカウントの乗っ取りに遭ったが、警察の見解として他のサービスから流出したアカウント情報が流用された可能性が高い、と言われた事実もある。

　「SP800-63B」ではその他「パスワードマネージャー」の使用および、パスワードを入力するときの「貼り付け」を推奨している。これはパスワードマネージャーの使用により、ユーザーがより強力なパスワードを使う可能性を高められることを想定しているゆえんだ。実際、人間が複雑かつ長い文字列を暗記することは困難なため、メモやノートに書き留めたり、テキストファイルにして端末内に保存したりするなどの対策を行わざるを得ず、これではかえってセキュリティ・リスクが高まる。こうした事情から、より強固なパスワードを利用するために「パスワードマネージャー＋貼り付け」を推奨するのが当然ともいえるだろう。

　ところで「SP800-63B」では「アカウントでの認証試行の失敗回数を効果的に制限するレート制限メカニズム」も推奨されている。キャッシュカードなどで暗証番号の入力を規定された回数失敗するとカードが無効になる、などの例がある。これは総当たりでパスワードを解析する悪者の行為を避けるには有効ともいえるが、ユーザーの「うっかり」ミスなどで無効化された際の回復の手間など考えると、常用サービスでの運用は、具体的ではないかもしれない。

その意図は？ ID＋パスワードの認証は限界なのか？

　時代の流れで「パスワードマネージャー＋貼り付け」が推奨されることから考えると、元来からの「（暗記できる範囲内での）IDとパスワードの手入力」という、パスワード認証の限界も感じる。筆者としては、パスワードマネージャーアプリの代わりにWebブラウザーのパスワード保存機能を利用すれば、と思うこともあるが、席を離れた隙に勝手に利用される可能性や、クラッキングなどの可能性から考えるとリスクが高く、利用は難しいだろう。

　ただし現在、パスワードマネージャーを使うケースはあまり多くない。なぜなら最近は「パスワードレス」認証が盛んになりつつあるからだ。このところ、Google、マイクロソフト、Yahoo! Japanなど大手ITサービスへのログイン時にパスワードを入力するケースは少なくなった。近年は、「ログイン時にスマホにSMSなどで送られたパスコードを入力する」「スマホの生体認証を利用する」「Authenticatorなどの認証アプリを使う」など、パスワード要らずでログインできる場合も少なくない。

　これらの多くは、「FIDO（ファイド：Fast Identity Online）」という、「パスワードレス」を実現する認証技術の開発と標準化を進める国際規格によるものだ。先述「インターネットの安全・安心ハンドブック」の、パスワード認証の記述中に「パスワードを無くすFIDO」として、利用者が「本人」であるという認証をパソコンやスマホなどそれぞれの機器上で行い、利用するサービスに「本人だと認証しました」という情報だけを送るFIDOの仕組みが解説されている。

　なお、パスワードに加えてスマホなどでの本人認証を行う「二段階認証」「二要素認証」を採用するサービスも数年前から増えている。オンラインサービスの認証要求に対して、IDとパスワードを入力した後に、スマホに送られたセキュリティキーなどを使って二段階で認証を行うものだ。そんな感じで大手ITサービスでは数年前から二段階認証を推奨し実践していたものの、いつの間にかパスワードレスの一発認証に移行しつつあるのが現状らしい。

　二段階認証もしくはパスワードレス認証という、新しい認証方式が普及しつつある現状では、よりイマドキな認証方法を採用しているサービスを使っていくほうが安全であろう。ただ、認証が必要なすべてのサイトやサービスが新しい方式を採用しているわけではなく、いまだに手入力でのパスワード認証でログインするサービスも多く存在する。それらを使う場合は、今回紹介した資料などの情報をよく読んで頭に入れ、最新のガイダンスに従い、自己防衛していく必要がある。

傾向と対策は？　今後どうなるのか

　ここまでを整理すると「パスワードの定期変更は、基本的に必要なし。ただし流出時は速やかに変更する」というパスワード認証の新しい流れになりつつある。後半の「流出時は速やかに変更する」ためには、「認証情報が流出したという情報」を早めに確実に入手することが重要となる。サービスや企業から知らせが来た場合は、速やかに指示に従い、認証情報の変更を行う。

　自分から情報を調べる手段もある。最近、グーグルが個人情報「ダークウェブ（身元や位置情報を隠して利用できるウェブサービス。密売など違法行為の他、機密情報の共有や盗まれた個人情報の売買にも使われる）」の流出を調査できる「ダークウェブレポート」を無料で開放した。誰でも利用可能になったので、メールアドレス、名前、パスワード、電話番号などについて、調べてみることを推奨する。使い方はGoogleのヘルプセンター「ダークウェブ レポートの仕組み」を参考に。流出がみられた場合の対応方法も書かれている。

　従来のパスワード認証の限界から、認証方法が変貌を遂げつつある現在、自社の社内システムやWebサイト、サービスへの認証システムを見直したい、二段階認証やパスワードレス認証を導入したい、などの場合は、最寄りのベンダーに相談しよう。目的に合ったソリューションをWeb検索などで探してみるのも手だ。

　なお、標的型攻撃メールに対する訓練、PPAPの廃止、不要なサイトへのアクセスによるパスワード流出を避けるために従業員のログ管理を行う、サーバーのデータをフィッシングで盗まれたり暗号化されたりしないためのセキュリティシステムやバックアップシステムなど、セキュリティ全般の強化を行うことも大切だ。中小企業のセキュリティ対策に関しては、IPAの「中小企業の情報セキュリティ対策ガイドライン第3.1版」や経済産業省「中小企業のサイバーセキュリティ対策」などが参考になる。インシデントの届け出も含め、セキュリティに関してはIPAの「企業・組織からのインシデント等に関する相談/届出/情報提供窓口のご案内」も頼りになりそうだ。

　今回、パスワード認証規格などセキュリティシステムをはじめ、ITシステムについて最新の流れを知ることは、特に大事だと実感した。筆者もパスワードを定期的に変更しようと、含まれる文字列の一部を変えるだけの変更を行ったり、使いまわしたりしている現状を反省している。最新の流れにアンテナを張りつつ自社のシステムや自分の利用するサービスをよく確認し、利用や運営を行っていくとよいだろう。

※掲載している情報は、記事執筆時点のものです