「定期変更」より「イベンドドリブン変更」へ

　パスワードの「定期変更」については、標的型攻撃やAPTのような高度に準備された攻撃、あるいは最新のサイバー攻撃手法に対して、かかる手間やコストに相応な安全性が見込めないとして、多くの専門家の認識は「否」でまとまりつつある。システムでパスワードの使用期間を把握し、定期変更を促したりログインを停止させたりしなければならず、ユーザーには不要なパスワード管理の手間を増やす定期変更は、結果的に脆弱なパスワード、類推されやすいパスワード（以前のパスワードに番号や記号を追加していくなど）につながっている。

　パスワードの変更は、漏えいやハッキングが疑われたり発生したりしたときだけに限定すべきだろう。共用アカウントであれば、メンバーの誰かが異動、退職した場合に行うことも必要だ。つまり、定期的な変更より、「イベントドリブン変更」のほうが合理的でセキュリティ上も好ましい。これがここ1年で広がっている認識だ。

長さと文字種混合の神話も崩れる？

　パスワードの長さ、文字種の組み合わせについても新しい動きがあった。米国立標準技術研究所（NIST）が発行する「電子認証に関するガイドライン」（NIST SP 800シリーズ）の改訂作業に伴うドラフト（NIST SP 800-63B）で、記憶認証（いわゆるパスワード）に関する記述が変更されている。

　パスワードに関する変更のポイントは、パスワードの長さは長いほどよく、スペースの使用などに制限をかけず、Unicodeの使用も認めるべきとしている点。そして、数字、記号、大文字、小文字などを混在させた「複雑なパスワード」は推奨されなくなった点だ。ただし、「1234」や「aaaaa」のような単純なシーケンスや繰り返し、パスワードリストで公表されているものやブラックリストされたパスワード、辞書に載っている単語は非推奨（禁止ではない）としている。

　その根拠は、定期変更と同様にパスワード要件へのユーザーへの負担が、簡単なパスワード、類推しやすいパスワードを誘発するためかえって危険度が高まるというもの。さらに、文字種を組み合わせて人間が覚えにくいパスワードにしても、機械的な総当たり攻撃にはじつは意味がない。例えば文字数の上限を16文字として、文字種を組み合わせを強制したパスワードと、単純な文字列でも長さを20文字、100文字と伸ばしたほうがクラッキングに時間がかかる。そのためガイドラインのドラフトでは、パスワードは最低でも8文字以上とし、上限を設ける場合も少なくとも64文字までは認めるべきとしている。使える文字種は制限しないが、数字・記号などの混在を強要するような制限は不要としている。

　その他の点では、ログインフォームでのペースト機能も禁止しなくてもよい、という記述がある。

　ドラフトでは「定期変更」について直接の言及はないが、ここに上げたポイント以外の制限や複雑さは要求すべきではないとしているので、定期変更を強制する規則はドラフトガイドラインでは必要ではないと解釈できる。

【次ページ】なぜ企業は運用が面倒な「過去の基準」を引きずるのか