パスワードの定期的な変更は不要！今年5月に刷新された総務省の指針を読み解く

　不正アクセスを防ぐための対策として、パスワードの定期的な変更を現在も行っている人は少なくないかもしれません。このパスワードの定期的な変更は、2010年代の中頃まで、情報セキュリティの常識的なルールとして存在していました。

　しかし2017年、アメリカの国立標準技術研究所（NIST）が、パスワードの定期的な変更は行う必要がない」と発表したことから、情報セキュリティ業界では“本当は、パスワードの定期的な変更は必要ないのでは?”という疑いの声が徐々に囁かれ始めました。

　総務省も、パスワードの定期的な変更を不要とする方針を発表しています。2024年5月にリニューアルされた、総務省の「国民のためのサイバーセキュリティサイト」というサイトでは、安全なパスワードの設定・管理に関する解説ページにて、明確に「パスワードの定期な変更は必要ない」ということが明記されました。

　同ページでは、サービスによってはパスワードの定期的な変更は求められることがあるものの、パスワードを破られてアカウントが乗っ取られるなど、サービス側から個人情報流出の事実がない場合は、「パスワードを変更する必要はありません」と説明されています。

　サイトではさらに、むしろ定期的なパスワードの変更が、良くない事態を招くことも指摘しています。

　パスワードの定期的な変更は、ユーザーのパスワードの作り方をパターン化させ、複雑なパスワードではなく、簡単なパスワードを作ったり、他サイトのパスワードの使い回しにもつながり、パスワードの強度を低下させる恐れがあるといいます。

　そのため同サイトでは、定期的なパスワード変更をルール化するよりも、機器やサービスの間で使い回しをせず、それぞれに固有のパスワードを設定することが重要としています。

総務省の「国民のためのサイバーセキュリティサイト」では、複数のサービスで1つのパスワードを使い回すことを推奨していない

　ただし、パスワードの「定期的な変更」が不要になっただけで、パスワードの「変更」自体は、引き続き必要な場面は存在します。

　そのひとつが、不正アクセスが発生した場合です。サイバー攻撃によってパスワードが流出したり、Webサイトのマイページに何者かがログインした形跡がある場合、そのパスワードが何者かの手に渡っている恐れがあります。ただちにパスワードを変更すべきでしょう。

　加えて、サービスによっては、初回ログイン時にシンプルな初期パスワードが設定されているケースもあります。たとえばルーターなどの通信機器の場合、初期パスワードが「admin」や「0000」のような、短くてかつシンプルな初期パスワードが用意されることもよくあります。

　ユーザーがログイン後に変更することを前提に提供されるパスワードは、このようにシンプルなものが多いため、パスワード変更を失念すると、悪意のある第三者に侵入される恐れがあります。忘れずに変更すべきでしょう。

　シンプルなパスワードが侵入されやすいのは当然ですが、一方で長大で複雑なパスワードを設定した場合、セキュリティ的には安全でも、入力の際にどういう文字列だったかを忘れてしまい、結果的に利便性を損ねる恐れがあります。使い勝手が良く、かつ強度も高いパスワードとは、どのようなものなのでしょうか？

　国民のためのサイバーセキュリティサイトでは、パスワードは「ある程度長い、ランダムな英数字の並びが好ましい」としながらも、覚えるためには英語でも日本語（ローマ字）でも、文章にならない、無関係な複数の単語をつなげたり、その間に数字列を挟んだりしたものであれば、推測されにくく、かつ覚えやすいパスワードを作ることができるとしています。

　IPA（独立行政法人 情報処理推進機構）の「チョコっと＋パスワード」というサイトによると、たとえば「チョコっと（Chocotto）プラス（+）パスワード（Password） 2024!」といったようなフレーズを作成し、その一部を抽出して「Cho+pw24!」のようなパスワードを作成するのも良いとしています。同サイトでは、安全なパスワードとして「最低でも10文字以上の文字数」「パスワードの中に数字や記号を混ぜる」ことを挙げています。

　ITサービスを使い続ける限り、ユーザーはパスワードとはずっと付き合い続けることになります。「強度」と「覚えやすさ」という、パスワードに求められる相反する要素は、これからも我々ユーザーの頭を悩ませ続けそうです。