システムのパスワード定期変更機能について削除要望を出してみてはどうだろうか

  • ブックマーク
  • Feedly

システムを利用する際にパスワードの定期変更を求められたことはないだろうか。また、その定期変更の作業について、面倒臭いと思ったことはないだろうか。実は、このパスワードの定期変更作業は意味がなく、実施する必要がないのだ。

アメリカの動き

2017年8月7日にTHE WALL STREET JOURNALで次のような記事が出た。
<The Man Who Wrote Those Password Rules Has a New Tip: N3v$r M1^d!>
https://www.wsj.com/articles/the-man-who-wrote-those-password-rules-has-a-new-tip-n3v-r-m1-d-1502124118
この記事の日本語訳はこちら。
<あのパスワード規則、実は失敗作だった>
https://jp.wsj.com/articles/SB12199000528276883842504583318883522596550

この記事を受けて2017年8月10日にINTERNET Watchで次のような記事が出た。
<「パスワードの定期変更は正しくない」――考案者が自ら過去の過ちを認める発言>
https://internet.watch.impress.co.jp/docs/yajiuma/1075308.html
こちらの記事で重要と思われる箇所を引用する。

告白したのは米国立標準技術研究所(NIST)に勤務していた2003年にパスワードの作成および変更にまつわるルールを考案したBill Burr氏。同氏がまとめた手順書「NIST Special Publication 800-63. Appendix A.」はNISTを通じて世界中で使われるようになったが、それらのルールは結果的に間違いであり、ユーザーが真に利用すべきなのは長く覚えやすいパスワードであり、変更するのは90日ごとではなくパスワードが流出した場合のみだったというもの。

つまり、パスワード情報が流出しない限りパスワード変更する必要がない、ということになる。

日本の動き

おそらく前述の米国標準技術研究所(NIST)の影響を受けて、日本政府に動きがあり、2018年3月26日に日本経済新聞で次のような記事が出た。
<パスワード「頻繁に変更はNG」 総務省が方針転換>
https://www.nikkei.com/article/DGXMZO28578370W8A320C1CC1000/

この記事を受けて同日INTERNET Watchで次のような記事が出た。
<2018年3月26日:日本もようやく……「パスワードの定期変更は危険」を報じた日経の記事が大きな話題に>
https://internet.watch.impress.co.jp/docs/yajiuma/1113835.html
こちらの記事で重要と思われる箇所を引用する。

これは総務省の「国民のための情報セキュリティサイト」から「定期的にパスワードを変更しましょう」という記述が消えたことを受け、その理由に迫ったもの。本文中では具体的に言及されていないが、米国立標準技術研究所(NIST)が2016年までに従来の方針を転換したことを受けて内閣官房の内閣サイバーセキュリティセンター(NISC)がこれに同調、2017年秋に「定期変更は不要」との文言を追加し、その流れでサイト上の記述を改定したというのが大まかな経緯。

要は日本でも米国と同様見解であるということになる。

まとめ

自分が使っているシステムで、パスワードの定期変更を求められたら、その機能の削除要望を出してみてはどうだろうか。機能が削除されれば、ユーザがシステムにログインする際の手間が省けると思う。小さい利益ではあるが、チリも積もれば山となる。

この記事を書いた人

アバター画像

羽沢 仁

業務系システムのエンジニアとして、コンサルティング会社で5年、事業会社の社内SEとして5年、フリーランスとして6年、要求定義、設計、開発、テスト、リリース対応の業務に携わってきました。来年からは、街の○○屋さんと直接つながって、ITツールを提供するサービスを開始します。詳しいプロフィールはこちらをご参照ください。