パスワードの定期的な変更は本当に不要なのか
～総務省が「パスワードの定期的な変更は不要」と発表。それはなぜ？

パスワードの「設定と管理のあり方」が改訂

実際に無理なパスワード変更は、さまざまなセキュリティ事故を引き起こしている。

ある企業の管理職A氏は、他人から安易に類推されないようアルファベットの大文字／小文字、数字をランダムに組み合わせたパスワードを社内システムで用いていた。だが、このような意味を持たないパスワードを暗記しておくのは困難だ。しかも会社からは定期的な変更を義務付けられているのでなおさらである。仕方なくA氏はパスワードを手帳に記載し、ログインのたびに見ていた。そしてある日、A氏のパスワードが社内システムへの不正侵入に用いられ、顧客情報を持ち出されてしまった。うっかりA社がデスク上に置き忘れた手帳を、以前から会社に不満を持っていた別の社員に盗み見られてしまったのが原因だった。

もうひとつ紹介したいのは、別企業のエンジニアB氏の事例である。B氏も会社の規約に従いアルファベットと数字、特殊文字をランダムに組み合わせた堅牢なパスワードを設定し、社内システムで用いていた。同システムには頻繁にアクセスすることから複雑なパスワードも自然と暗記することもできた。ところが問題となったのは、「このパスワードなら誰にも類推されずに安心」とB氏が過信してしまったことである。社内システムのみならず、プライベートで利用しているネット通販やブログ、ゲームなど、あらゆるWebサイトに同じパスワードを設定していたのだ。そんな中、B氏のパスワードが悪用され、社内システムから新製品の設計データが盗み出されてしまった。同じパスワードを設定していたいずれかのWebサイトからB氏の個人情報やパスワードが丸ごと流出し、勤務先を特定されてしまったのが原因のようだ。

実際、多くのWebサイトがサイバー攻撃を受け、大量の個人情報を漏えいさせる事件が頻発している。また、クレジットカード会社や銀行、ショッピングサイトなど、実在する著名な企業を装ったニセのWebサイトに誘導して個人情報を登録させるフィッシング詐欺も横行している。当然のことながら、ここに入力したパスワードも犯人に筒抜けになってしまう。厳格な社内規則がかえってパスワードの「使いまわし」という危険な行為を誘発してしまったとすれば、皮肉と言わざるを得ない。

上記のような事例も参考にしつつ、あらためて安全なパスワードのあり方を考えたい。国民のための情報セキュリティサイトでは、他人に推測されにくく、ツールなどで割り出しにくいものを 安全なパスワードとし、「名前などの個人情報からは推測できないこと」「英単語などをそのまま使用していないこと」「アルファベットと数字が混在していること」「適切な長さの文字列であること」「類推しやすい並び方やその安易な組み合わせにしないこと」といった要件を示している。これがパスワード設定で守るべき基本事項であり、あわせて電話番号や郵便番号、自動車のナンバー、生年月日、社員コードなど、他人から類推しやすい情報やユーザーIDを流用するのは絶対に避けてほしい。

また、しばしば問題となるのがパスワードの保管方法だ。まったく意味を持たない無機質なパスワードを常に暗記しておくのは困難で、やむを得ずメモなどを残している人は少なくない。そんな場合も必ずPCや端末とは別の場所で管理することが大原則であり、鍵のかかる机や金庫など安全な方法で保管してほしい。

さらに先の事例でも紹介したように、あるサービスから流出したパスワードを使って、他のサービスへの不正侵入するサイバー攻撃が多発していることに留意してほしい。従って1つのパスワードを複数のサービスで使い回すのは慎むべきである。

こうした基本的なポイントをしっかり理解して守ってさえいれば、パスワードの定期的な変更は不要である。

加えてシングルサインオン（SSO）の技術を活用すれば、覚えなくてはならないパスワードは1つだけですむ。ログイン対象のアプリケーションに認証を代行するモジュールを組み込む「エージェント方式」、Webアプリケーションやクラウドサービスのログインページに対してユーザーの代わりにID/パスワードを送信する「代理認証方式」、クラウドサービス間でパスワードの代わりにチケットと呼ばれる情報を受け渡しする「フェデレーション方式」といったSSOの仕組みが代表的だ。

もっともパスワードのみに頼ったセキュリティにはどうしても限界がある。そうした中で新たな認証方式として浮上しているのが 生体認証（バイオメトリクス認証）だ。指紋や静脈、虹彩などユーザー固有の身体的な特徴をパスワード代わりに利用するもので、他人によるなりすましはきわめて困難であると共に、パスワードを暗記したりメモを厳重に管理したりといったユーザーの不便も解消できるというメリットがある。

さらに最近、数ある生体認証方式の中でもひときわ大きな話題を呼んでいるのが、PCにも搭載されはじめて身近になってきた顔認証だ。なぜこの技術が注目されているのかというと、その背景にあるのは2020年に向けたセキュリティ対策である。テロリストや不審者の侵入を阻むべく、空港の乗客ゲートや競技施設、コンサート会場など、さまざまな公共施設や民間施設への導入・検討が進んでいる。

従来の顔写真（静止画）を用いて認証を行うシステムでは、対象者を指定のカメラの正面に立ち止まらせる必要があり、ビルの入退室管理など限定的な利用にとどまっていたが、最先端の顔認証システムでは動画を用いた不特定多数同時の認証も可能となった。空港などにおけるウォークスルーでの認証テスト（カメラを意識せず立ち止まらずに歩いてくる人物を1人ずつ識別する）でも、99.2%の照合精度を達成している顔認証システムもあるという。

さて、この顔認証技術をPCに搭載することで、どんなメリットが得られるのだろうか。ユーザーにとって何よりも大きいのは、PCの利用が格段に「便利になる」ことだろう。従来のようにIDやパスワードを入力する手間がなく、PCを開くだけで自動的に認証が完了し、すぐに利用できるのだ。

また、指紋や静脈のようにその都度手をかざしたりする必要がないため、システム側からの“常時監視”が可能となる。端末の利用者が他人に変わった際に即座に画面をロックするなど、一時的な離席中に起こりうる不正利用を防止できるのだ。

ただし、これらの生体認証方式はまだ発展途上の技術であり、国民のための情報セキュリティサイトにも「人の成長、老化などによる身体的特徴の変化によって認証が正しく行われない」「双子など身体的特徴が似ている人を誤認識する」といった課題が示されている。特に「身体的特徴は意図的に変更できない」という指摘は重要で、たとえば自分の指紋データが流失した場合にも指紋は変更できないという重大な問題をはらむだけに、生体情報を預けるシステムやサービスは信用できる相手かどうかを熟慮し厳選すべきである。

こうした観点からも生体認証方式が全面的に利用されるようになるまでには、まだしばらく時間を要すると考えられ、それまでの期間はパスワードと付き合っていく必要がある。結局のところ一人ひとりのユーザーがセキュリティ意識をしっかり持たない限り、情報漏えい事件はなくすことはできないのだ。この記事や国のガイドラインなどを参考としつつ、シングルサインオンなどパスワード管理の負担を減らす技術も効果的に活用し、セキュリティ対策をしっかり行ってほしい。