パスワードの定期変更は不要?
IDとパスワード。
何かしらのサービスで保有している人も多いのではないでしょうか。
このうち、パスワードは原則として、他人に知られてはならないものとなりますので、その管理や保管については、それぞれ工夫しているのではないでしょうか。
そしてパスワードといえば、定期的な変更を促されることがありますが、これを不要とする考えもあるようです。
そのような考えを示しているのは、総務省です。
定期的な変更は不要
総務省によると、パスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要は無いとしています。
むしろ、定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題としています。
以前は変更が推奨されていた
パスワードの定期的な変更は不要と示した総務省ですが、以前は変更を推奨していました。
変更推奨から変更不要へと移り変わったのは、2017年に米国国立標準技術研究所から、パスワードの定期的な変更を要求すべきではないというガイドラインが示され、日本の内閣サイバーセキュリティセンターからも、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されてのことのようです。
以前は「良し」とされていたものが、実例などが積みあがり、「良い」とはいえなくなったのかもしれません。
それぞれが判断
総務省からはパスワードの定期的な変更は不要とされている一方で、依然として変更を必要と主張する専門家もいるようです。
先の例にもありますが、定期的な変更そのものが問題というわけではなく、変更をすることでパターン化、簡略化、使い回しという状態になることが問題の根源となります。
つまり、そのようなことが起こらなければ、定期的な変更も有効な防衛策ということになります。
ただ、変更の都度、完全に独立したパスワードを生成するのは、その管理も含めて、手間がかかります。
こうしたことも含めて、流出などの事実が無ければ、現状で設定されているパスワードは、セキュリティ上のリスクは低いと考えて、あえて変更する必要はないと示したのが総務省の考えなのかもしれません。
なお、安易なパスワードを用いるのは、定期的な変更を行うかどうか以前の問題となります。
総務省においても、安全なパスワードの作成条件として以下の案内がされています。
- 名前などの個人情報からは推測できないこと
- 英単語などをそのまま使用していないこと
- アルファベットと数字が混在していること
- 適切な長さの文字列であること
- 類推しやすい並び方やその安易な組合せにしないこと
どのようなパスワードを設定し、どのように管理をするか。それぞれの判断が求めれることは言うまでもありません。
さいたま市緑区の税理士 渡辺税務会計・KWAT
埼玉県さいたま市緑区東浦和1-8-18-303
営業時間 平日9:00~18:00
関東信越税理士会浦和支部所属
免責事項
当サイトに掲載する情報に関しまして、細心の注意、調査を行って掲載しておりますが、当サイトのすべてに関して、誤りや変更などに伴うくい違いが含まれる場合もございます。従いまして、これらの正確性および完全性を保証するものではありません。当サイトで公開している情報もしくは内容をご利用されたことで、利用者もしくは第三者の方が直接又は間接的に被害を生じた場合について、当人は一切責任を負うものではありません。