セキュリティを取り巻く環境とルール

先日、米国のNIST(National Institute of Standard and Technology)という政府の標準化機関が、あるセキュリティに関するガイドラインのドラフトを発表し、その内容について日本でもセキュリティ関係のニュースになっていました。

その内容というのは、「パスワードの定期変更を推奨しない」ということでした。国内のニュースだと「パスワードの定期変更をしてはいけない」とか、ちょっと違う表現で書かれていたりしました。

元の英文のSection5から引用すると、

Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically) and SHOULD only require a change if the subscriber requests a change or there is evidence of compromise of the authenticator.

と書かれています。日本語訳が知りたい人は翻訳サイト等で上記の英文をコピペしてみてください。ということで「SHOUD NOT」の表現であり、これは「しない方がいいよ」という感じの意味合いであり、「してはいけない」という表現ではないです。「してはいけない」の場合は「MUST NOT」が使われるので。

ということで、表現の違いはともかく、これまで各種のガイドラインでパスワード変更が要求されてきていたのですが、これが変わった理由を考えてみましょう。

リスク対応としてのパスワード

そもそも、パスワードは何のためにあるのか?具体的なセキュリティリスクとしては、いわゆる「なりすまし」であり、それを防ぐための本人確認手段としてパスワード=本人しか知りえない秘密の情報(合言葉)を使用して、本人確認を行いましょう、ということです。

この方式の場合、パスワードが「他人には分からない」ことが非常に重要なわけです。

そのため、攻撃者は秘密であるはずのパスワードを知ろうとする=攻撃するのです。

攻撃手法としては、

  • パスワード入力画面で何回も試す
  • 「よく使われるパスワード」や本人に関連する文字列等を試す。
  • 本人がパスワード入力している場面を後ろから除く。
  • 本人がパスワードをメモしている紙を盗む。
  • 暗号化されたパスワードファイルを盗んで、ひたすら解読する。
  • ブラックマーケットで買う。

などがあります。

さて、こういう攻撃がされるわけですが、「パスワードの定期的変更」に関しては、「もし、漏れたとしても、変更してしまえば、なりすましできないよね」とか「暗号化されたパスワードが漏れたとしても、解読されて不正利用されるまでの間に変更されていれば、なりすましされないよね」というような効果が望まれていたわけです。

パスワード定期変更のデメリット

では、パスワード定期変更のデメリットは何でしょうか?分かりやすくいうと「面倒くさい」んですね。パスワードは簡単に推測されたりしないようにパスワード自体に「複雑さ」が求められるため、「記憶しづらい」という側面が多少なりともあります。で、それを定期変更しなくてはいけないので、「新しいパスワードを作るのが面倒くさい」、「利用者がパスワードを忘れてしまう」ということになります。そうすると利用者側は可能であれば簡単なパスワードを使いたくなってしまうのです。

実は昔であれば、このデメリットは考える必要がなかったのです。というのも、システムの数も少なく、また、システムの利用者は限られた人であり、かつ、システムに詳しい人が利用するという前提であり、パスワードに関する面倒くさいルールを受け入れる「スキル・能力」があることを前提にしてよかったわけです。

ところが、現在では、パスワードが必要なシステムの数は膨大になり、PCだけでなく携帯、スマホの普及によりシステムに詳しくない人が利用者となった結果、パスワードに関する面倒くさいルールに従うスキル・能力がないor従わない利用者が多くなってしまったのです。

その状況において「システムを利用してもらうこと」がビジネスとして重要である場合、「パスワードに関する面倒くさいルール」を強制的に適用することは、「システムを利用してもらえなくなる」というビジネスリスクにつながる可能性=デメリットとなります。また、情報セキュリティの面でも簡単なパスワードの増加、パスワードの使いまわし等によりなりすましの発生リスクが高くなってしまうのです。

そして、前述のメリットとこのデメリットを考えた場合、「パスワードの定期変更は推奨すべきではない」ということになるのだと思います。

実際には状況を個別に評価しなくてはいけない

さて、NISTのガイドラインが「パスワードの定期変更をしないほうがいいよ」と書いてあったからといって、全てのシステムで定期変更をやめるのかといったら、「それは違う」とは思います。

例えば、利用者のITスキルが高く「パスワードに関する面倒くさいルール」を守れる利用者であったり、非常に機密度の高いシステムであり「パスワードに関する面倒くさいルール」を守ることを要求したい状況であれば、定期変更をしても良いと思うのです。

そのため、システム個々の状況に応じて、パスワードというか本人確認の方法について考えるべきなのです。

NANAROQ株式会社セキュリティ・エグゼクティブ・ディレクター
中島浩光