駒鳥です。
先日話題になっていた以下のエントリー。
読んでるとうんざりしてくるので(笑)、全力でシェア。/平成のうちにやめたかった『ITの7つの無意味な習慣』 – Qiita https://t.co/0R3WRP4CiU
— 佐々木俊尚 (@sasakitoshinao) January 3, 2020
この記事を読んでいるとわかるように、日本のIT活用の現場は、時代が令和になった今も多くの問題を抱えています。
中途半端な電子化や、システムをコストとしてか捉えられない文化などなど。
中でも個人的に、
「あー、、これは確かに嫌だよねえ」
と感じたのは、記事の中で1位に取り上げられている、
パスワードの定期変更
という文化です。
スポンサーリンク
日本のIT現場で求められるパスワードの定期変更
僕の勤務している会社でも、定期的なパスワードの変更を求められています。
社内のシステムを利用するためのパスワードは、2ヶ月に一度変更が必要で、うっかり変更の期限が切れてしまうと、担当の人に連絡してパスワードを変更してもらう必要があったりします。
これよりひどいのは、法人向けのプロダクトを管理するサーバー群へsshログインする際のパスワードです。
このパスワードも定期変更を求められるのですが、かなりルールが複雑。
- パスワードの変更は2ヶ月に1回
- パスワードは、英大文字小文字、記号、数値を含む8文字以上である必要がある
- 3世代前までのパスワードを再度使用することはできない
と、結構厳しいルール。
これに対応しようとすると、、いつも使っているような覚えやすいパスワードは使えません。
現実的に、頻繁に変わる複雑なパスワードを覚えておくのは難しい。
そして忘れると作業ができなくなってしまうので、当然忘れるわけにはいきません。
結果として、パスワードをどこかにメモしておく、という人が多くなる。
これでは本末転倒です。
セキュリティが厳しくなることで、パスワードに関するセキュリティの基礎として誰もが習う、
「パスワードをメモしてはいけない」
を破っているのです。
スポンサーリンク
なぜパスワードの定期変更をしないといけなくなっているのか
上記の法人向けシステムのパスワードですが、ちょうど1年くらい前のタイミングで、突然ルールが変更されてしまいました。
それまではここまで複雑なルールではなく、普段使っているフレーズをパスワードとして設定して使っていました。
ルールが変更された理由は、この法人向けシステムを提供するクライアントの内、一部のクライアントに非機能要件として求められたため、です。
対法人システム、SE、SIerの現場では、非機能要件としてパスワード変更などのルールを要求される
対法人のシステム提供においては、システムの機能だけでなく、その可用性やセキュリティなどを要求する非機能要件を求められることが多くあります。
その中には、システム提供側のセキュリティを制限するものを要求してくるクライアントも。
先述した複雑なパスワードのルールも、とあるクライアントから要求されたもの。
正直意味はない、というか、意味ある形として機能していないとも思うんですが、そのままルールが適用されてしまったわけです。
SE・SIerが要求される、理不尽な非機能要件
ちなみに、他にもいろんな、理不尽な非機能要件を求められたりするのがSE・SIerの世界です。
例えば、パスワードの管理の仕方を細かく定めてくるもの。
台帳を使って管理する、などを平然と要求してくる会社もあります。
台帳での管理って、それだけを要求してしまうと、中身が伴わず却ってリスクが発生することも想像できます。
他にも、運用体制、何かあった時の社内の体制など、自社ルールを他社に無理やり要求するものもあり、理不尽だったりします。
スポンサーリンク
パスワードの定期更新に意味はあるのか
パスワードの定期更新に意味はあるのか。
定期変更、という形だけを採用しても本質的に意味はなく、セキュリティ対策として何が必要かを考える必要があります。
冒頭の記事でも触れられているように、生体認証も、一般的な選択肢として今後浸透してくるでしょう。(そうであってほしい)
総務省が「パスワードの定期変更は不要」と公式コンテンツで記載
かつて、IPAが公開している「不正アクセス対策のしおり」にて、パスワードの定期変更はした方が良い、と記載がありました。
しかし最近、総務省が公開する「国民のための情報セキュリティサイト」の、「安全なパスワード管理」のページ内にて、パスワードの定期変更は不要、という見解を公開し、話題となりました。
なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。
ただ、「パスワードは定期的に変更しなくても良い!」「パスワードの定期的な変更は却ってリスクがあって不要!」という標語だけが一人歩きしてしまう状況も、好ましくはありません。
全ての場合にパスワードの定期変更が不要というわけではなく、前提として、安全、堅牢なパスワードを設定する必要があります。
定期的な変更が不要な、堅牢なパスワードとは?
では、安全、堅牢なパスワードとはどういうものか。
NIST(アメリカ国立標準技術研究所)は、以下の条件を満たすようなパスワードであれば、定期的な変更は不要と結論づけています。
- パスワードは8文字以上(パスワードジェネレータを用いてランダムに設定される場合は6文字以上)
- パスワードは最低64文字までの長さを許可する
- 複雑さの要件を課さない(大文字を1個、小文字を1個、数字を1個、特殊文字を1個のようなケース)
- ASCIIやUnicodeに定義されている文字はパスワードとして利用可能とする(スペースを含む)
- パスワードがUnicodeで設定される場合、NFKC(Normalization Form Compatibility Composition:正規化形式KC)やNFKD(Normalization Form Compatibility Decomposition:正規化形式KD)で正規化する
- 秘密の質問は求めない
- パスワードのヒントを表示しない
- 以下のパターンに合致しない
- 過去に漏えいしたパスワード
- 辞書に含まれる文字列
- 繰り返しまたはシーケンシャルな文字列(繰り返し例「aaaaa」、シーケンシャル例「12345」)
- サービス名や名前など推測可能な文字列
引用元:https://www.atmarkit.co.jp/ait/articles/1910/15/news011.html
原文を確認したい方はこちら→「Digital Identity Guidelines」
※上記の総務省のページからもリンクが貼られています。
パスワードの定期変更は不要、危険、という表面的な話だけでなく、そもそもどんな状態が好ましいのかを、各企業が今後も考え、情報をアップデートしていく必要がある、と考えています。
個人的にも、そうあってほしいと願うばかりです。
それでは。
TechClipsエージェントの特徴
- 高年収・高待遇に特化
- 現役のエンジニアに相談できる
スポンサーリンク
コメント