さまざまなところでログイン認証などに必要となるパスワード、従来の考え方では『パスワードの定期的変更』が推奨されてきました。

しかし、これに対して『パスワードの定期的な変更は不要』という考え方に変化してきています。

パスワード

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

総務省の『国民のための情報セキュリティサイト』にある、『IDとパスワード 設定と管理の在り方』を紹介するページでは、『パスワードを複数のサービスで使い回さない(定期的な変更は不要)』という文言が出てきます。

これは以前の考え方から変化していますが、何故そのように変化したのでしょうか?

パスワードの定期的な変更は不要

一部のインターネット記事を見ると、これはNISC(内閣サイバーセキュリティセンター)の見解を受けて変更されたようです。

しかし、NISCも他での見解を受けて方針を変更したのではないでしょうか?

約1年程前、米政府機関である『NIST(National Institute of Standards and Technology/アメリカ国立標準技術研究所』が発行する『電子認証に関するガイドライン』の新版からルールを変更するとされていました。

(参考:電子的認証に関するガイドライン by NIST

これは、ユーザーに新しいパスワードへの変更を求めてもいい加減に作る傾向にあり、特別な理由がない限りはパスワード変更を求めるべきではないという考え方が専門家の間でも増えてきたこともあります。

また、NISTでは定期的なパスワード変更を止める代わりとして、最低64文字でスペースも入れられる『パスフレーズ』を推奨するとしています。

では、パスワード設定はどのように行うか?

パスワード生成を自動で行ってくれるツールを使うと良いです。

このようなものを使えば、個人に関連する情報が一切含まれず、英字の大文字・小文字、数字、記号、文字数、強度などを選択しながらパスワード生成を行うことができますので、非常に解読されにくいものであると言えます。

(参考:パスワードジェネレータ/Norton by Symantec

そして、これを適切に管理さえしていれば、推測されやすいパスワードの定期的な変更よりも適切なものであると言えるでしょう。

Ads

この記事を書いた人

  • 業務コンサルタント高橋晋吾
  • 1968年生 愛知県名古屋市出身 会計・給与・販売購買在庫・税金系などの業務システムを製造・販売する某上場企業の出身で、会計・IT・WEBを中心とした業務改善などを行う業務コンサルタント
  • 中小企業庁『ミラサポ』登録専門家/あいち産業振興機構登録専門家/名古屋産業振興公社登録専門家
  • (Publisher:TRILOGYFORCE.COM)

この記事をシェアする

  • Facebookにシェア
  • はてなブックマークにシェア
  • LINEにシェア

関連記事

お問い合わせ

お悩み・問題・課題を今すぐご相談ください。お問い合わせはこちら

ページのトップへ戻る