連載
» 2016年04月28日 05時00分 公開

セキュリティのアレ(23):「パスワードの定期変更」を考え直そう

セキュリティ専門家が時事ネタを語る本連載。第23回のテーマはセキュリティ業界では度々議論されてきた「パスワードの定期変更」です。その効果について、ケースを分けて考え直します。

[根岸征史(インターネット イニシアティブ), 辻 伸弘(ソフトバンク・テクノロジー株式会社), 宮田健,@IT]
この連載に関するご意見・ご感想・ご質問などはこちらまで!
Twitterハッシュタグ
#セキュリティのアレ

「パスワード変更」はタイミングが命?

 セキュリティ専門家が時事ネタを解説する「セキュリティのアレ」。第23回のテーマは「パスワードの定期変更」です。今回は読者の皆さまのご要望にお応えし、テキストによるダイジェストからお届けします! 解説するのは、前回に引き続き、根岸征史氏と辻伸弘氏。また、本連載に関するご意見、ご感想はTwitterハッシュタグ「#セキュリティのアレ」にて受け付けております。ぜひ皆さまの声をお聞かせください。

@IT 編集部 宮田健、ソフトバンク・テクノロジー 辻伸弘氏、インターネット イニシアティブ 根岸征史氏

宮田 さて、今回のテーマは「パスワードの定期変更」です。パスワードを定期的に変更することにどんな効果があるのか、もう一度整理しましょう。ただし、「社内システム」の場合は既にポリシーで定期変更が定められている場合などもありますので、今回は、皆さんが普段利用するWebサービスを想定しましょう。

根岸氏 「メールサービス」や「オンラインショッピングサイト」のようなものですね。こういったサービスでは大体、「ID」と「パスワード」を入力してログインするわけですが、そのパスワードが「ずっと安全」なのであれば、そもそも変更する必要はないですよね?

辻氏 10年使おうが問題ないですね。

根岸氏 ところが、現実には変更が必要になる場合があります。それはパスワードが「漏えい」してしまったケースですね。第三者に悪用される危険性がありますから、このような場合はパスワードを変更する必要があります。

辻氏 定期変更の話はいったん置いておいて、ですね。

根岸氏 そうですね。そしてこのパスワード漏えいによる悪用には大きく2つのパターンがあります。1つは、「サイトAから漏れたパスワードを使って、第三者がサイトAにログインするケース」、もう1つは、「サイトBから漏えいしたパスワードが、サイトAのパスワードと同じだったために、それを使ってサイトAに入られてしまうケース」です。

辻氏 後者は「リスト型攻撃」と呼ばれるものですね。

根岸氏 はい。後者のケースでは、そもそも「パスワードの使い回し」をしてしまっていることに問題があるわけですよね。ですから、根本的な対策は定期変更ではなくて、「パスワードの使い回しをしない」ということになります。こうしたパスワードの管理方法についてはこの連載の過去の回でも何度か触れましたね(第13回第18回)。問題は、前者の「AからA」のパターンです。このリスクに対処するためには、一定の間隔でパスワードを変更すべきなのかどうか?

辻氏 「30日ごと」に変更すべきなのか「90日ごと」なのか、といった議論が行われることもありますね。

宮田 しかし、仮に1年ごとに変更するとして、その1年間はパスワードが同じなわけですから、悪用されるリスクは存在することになりますよね。

辻氏 その通りです。ですから大事なのは、「パスワードを変更すべきタイミングに、ユーザーが気付けるかどうか」ですね。

 パスワード変更において重要なのは、漏えいや悪用の発生時など、「パスワードを変更すべきタイミングを、ユーザーが察知することができるかどうかだ」という問題提起から始まった三人の議論。動画中では、それを実現するためにサイト側が実装すべき「ログイン通知」や、パスワードの悪用を防ぐ「二段階(要素)認証」といった仕組みについて詳しく説明します。また、ユーザー視点での注意事項や、セキュリティ専門家である根岸氏、辻氏が、過去に犯してしまった「パスワードにまつわるちょっと恥ずかしい失敗談」も……。Webサービスを使う人だけでなく、「作る側」の皆さまも、ぜひご覧ください。

画像クリックで連載トップページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。