「パスワードの定期的な変更は不要」という総務省からのアナウンス

最近大きくニュースになっているこの話題を共有します（前回と同じ導入ですねｗ）

この国民向けサイトというのは”国民のためのサイバーセキュリティサイト”のことになります。このサイトを国民が見てくれるかは疑問符がつきますが、実際このサイトはかなり丁寧に書かれていて、私はシステムを“利用”する人向けの対策を参考に、従業員向けの教育資料を作成しました。で、その中でもタイトルの項目は目について「お！」と思ってクイズで出題予定なので、これがニュースでバズった（死語）のは僥倖ですね。結果として正解率が上がれば従業員に定着しますので。

パスワードを複数のサービスで使い回さない（定期的な変更は不要）

これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所（NIST）からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです（※1）。また、日本においても、内閣サイバーセキュリティセンター（NISC）から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています（※2）。

僕が思うに、長く複雑、使いまわししないパスワードを毎月のように変えればそのほうが安全でしょう。しかしそれは実際の人間の運用を無視した理想論。長く複雑になればデスクにポストイットでパスワードを貼ってしまうでしょうし、毎月のように変更しろなんて言われたらXXX01、XXX02なんてパスワードになることは目に見えています。自分も過去そのようなパスワードを設定したことがあります。上記引用元にもあるように、専門家の間ではかなり前から「パスワードの定期的な変更は効果が薄いよ」と言われていたのですが、PPAPでもそうだったように、長く染みついた習慣を変えることは難しい。しかし今回行政からもお墨付きが付いたということで、一気に広がると良いですね。

今後パスワードは覚えるものではなく、複雑なパスワードをサービスごとにアプリで管理する、となるとパスワード管理ツールが必要になります。私が以前本ブログで紹介したBitwardenや、昔からWindowsPCで使用されているID Managerがあります。1passwordは非常に優れたアプリですが残念ながら有料(月3ドル)です。モバイル向けに作られているWindows Authenticatorは無料の上パスキーの機能も有しており神アプリなのですが、PC版はないのでPCでサイトにログインするときにモバイルに表示されているパスワードを入力する手間がかかるのが唯一の不満点。

あとはパスワード管理ツールにログインするパスワードをパソコン内に平文で保存しておくと一網打尽になってしまうので、スマフォなど別デバイスで管理したり、多要素認証で保護したりするのが良いでしょうか。本当はパスキーが完全に普及すれば安全簡単にWebを利用できるのですがもう少し先になりそうですし、しばらくはこの新しいパスワードルールを覚えていただきたいです。