いつも盛り上がる「パスワードの定期的な変更」ネタですが、多くの組織でこの対策が推奨されているということをTwitterで知りました。ここではパスワードの定期的変更についてまとめます。
パスワードの定期的変更の考察・関連記事
まずはここを読みましょう。
- Bruce Schneier
- 徳丸さんの記事
- 辻さんの記事
- セキュリティ・ダークナイト(6):パスワードの定期変更という“不自然なルール” (1/4) - @IT
- セキュリティ・ダークナイト(12):大切なパスワードをつなぐ ひみつマネージャ (1/2) - @IT
- セキュリティ・ダークナイト(13):もしかしたらって距離は平行線 一番大事な不正ログイン対策 (1/2) - @IT
- 【コラム】セキュリティのトビラ (1) パスワードのトビラ(1) オンラインとオフラインを知る | エンタープライズ | マイナビニュース
- 【コラム】セキュリティのトビラ (2) パスワードのトビラ(2) 安易なパスワードが危険な理由を知る | エンタープライズ | マイナビニュース
- 【コラム】セキュリティのトビラ (3) パスワードのトビラ(3) パスワードの使い回しが非常に危険なことを認識する | エンタープライズ | マイナビニュース
- セキュリティのトビラ (4) パスワードのトビラ(4) パスワードの使い回しをやめるための具体策 | マイナビニュース
- セキュリティのトビラ (5) パスワードのトビラ(5)弊害を生む、とあるパスワードルール
- セキュリティのトビラ (6) パスワードのトビラ(6) 不正ログインは誰の責任?
- 萩原さんの記事
- 萩原栄幸が斬る! IT時事刻々:生体認証アラカルト、パスワードの限界 (1/2) - ITmedia エンタープライズ
- 会社を強くする経営者のためのセキュリティ講座:第6回 経営者が注意すべき「パスワードクラッキング」 (1/3) - ITmedia エンタープライズ
- “迷探偵”ハギーのテクノロジー裏話:繰り返します! 「あなたのパスワード管理は大丈夫ですか?」 (1/2) - ITmedia エンタープライズ
- 萩原栄幸の情報セキュリティ相談室:パスワードクライシス・前編 パスワードって何だ? (1/2) - ITmedia エンタープライズ
- 萩原栄幸の情報セキュリティ相談室:パスワードクライシス・中編 パスワード管理を取り巻く現実 (1/3) - ITmedia エンタープライズ
- 萩原栄幸の情報セキュリティ相談室:パスワードクライシス・後編 無理のないパスワード管理をどうするか (1/3) - ITmedia エンタープライズ
- 萩原栄幸の情報セキュリティ相談室:パスワードや暗証番号の作り方と未来予想図 (1/3) - ITmedia エンタープライズ
- その他パスワードの定期的変更について扱っている記事・トピック
- @kitagawa_takujiさんによるWindowsアカウントのパスワード解読に関するまとめ
- 実際、パスワードはどれくらいの頻度で変えるべきですか?(LF質問箱) : ライフハッカー[日本版]
- 《特別座談会》 "セキュリティ三銃士"がそろい踏み! Webサイト攻撃への対策、何ができて何ができない? 第2回
- 徳丸 浩氏に聞く「セキュリティ意識の高め方」(前編)(1/3) | 日立ソリューションズの情報セキュリティブログ
- "パスワードの定期変更"はもはや無意味! セキュリティの現実を直視すべし─NTTデータ先端技術、辻氏
- Change it パスワードの定期的変更は意味があるか
- PASSWD superstition パスワードの定期変更は有効という幻想はなぜ繰り返しわき起こってくるのだろう?
- 「パスワードの定期的変更」は基本的には無意味 | スラッシュドット・ジャパン セキュリティ
- Togetter - 「パスワードは定期的に変更するべき、というのは都市伝説?」
- なぜパスワードを定期的に変更するのか: 佐久間裕幸の談話室
- パスワードの定期更新の有効性に関する考察 - TrickDiary
- 定期的なパスワード変更は有効な施策なのか?
パスワードの定期的変更をすることによる弊害
パスワードの定期的変更をすることで逆効果となり得るケースも考えられます。辻さんの記事から引用。
パスワードの定期的な変更を行うことで、どうしても自身が「覚えやすい」パスワード、つまりは「クラックされやすい」パスワードを設定してしまいがちではないだろうか。その上、30日や60日といった期間で定期変更を求められれば、複数のシステムで同一パスワードの使い回しが発生してしまう可能性も高い。
http://www.atmarkit.co.jp/ait/articles/1102/04/news117_3.html
パスワードの定期的変更に効果はあるのか
徳丸さんの記事に「効果がなくはない」条件が記載されています。
高橋: 結局、パスワードの定期的変更は意味がないという結論なんですか?
http://blog.tokumaru.org/2013/08/2.html
徳丸: そう言いたいところですが、理論的には、次の条件を満たすサイトを使わないといけない場合は、パスワードの定期的変更が効果がなくはない、ということになります。
高橋: 微妙な言い方ですね。どのような条件ですか?
徳丸: はい。箇条書きにしますね。以下の3条件を満たす場合、パスワードの定期的変更が意味がある可能性があります。
長期に情報が漏洩し続けると被害の拡大するメール、メッセージング、ストレージなどのサービスである
2段階認証、リスクベース認証、ログイン履歴確認画面などのセキュリティ施策がない
情報漏洩があっても、サイトからアナウンスされない可能性がある or フィッシング被害にあう心配がある
高橋: フィッシングは利用者の責任ですが、他は残念な感じがしますね。しかし、このようなサイトを使う場合は、パスワードの定期的変更で安全性が高まるのですか?
徳丸: いや、攻撃を受けると、過去のデータは全て漏洩した上で、次のパスワード変更までは情報が漏洩し続けます。
高橋: 次回の「定期的変更」で漏洩が止まる、と。
徳丸: いや、それも確実なものではありません。
高橋: あっ、そうなですか?
徳丸: はい。情報が漏洩してもサイトからアナウンスがないということは、サイト側も気づかない「完全犯罪」の可能性が高いわけです。この場合は、攻撃者が再度攻撃すると、パスワードを変更していても防御できません。
高橋: なんか、残念な上に、パスワードを変更しても、攻撃を断ち切れる訳ではないのですか…
しかし世の中には「パスワードの定期的変更」が満ち溢れている
というわけでパスワードの定期的変更には手間がかかる割に効果がそこまでないことに気づいたわけです。では、世の中ではこのパスワードの定期的変更が推奨されているのでしょうか。なお、推奨をしている対象が「オンライン」か「オフライン」か、または特に意識せず書いているかもポイントです。分かる範囲で掲載日付も記載しておきました。
インターネットサービス編
パスワードが第三者に知られた場合、その人物があなたの知らないうちにあなたのアカウントにアクセスする可能性があります。パスワードを定期的に再設定すると、このタイプの不正アクセスを制限するのに役立ちます。
https://support.google.com/accounts/answer/32040?hl=ja
パスワードなどの情報は、定期的に変更することをお勧めします。
http://www.microsoft.com/ja-jp/msaccount/faq.aspx#faq03
- Apple(2013/08/27)
情報を保護するために、iCloudパスワードは定期的に変更してください。
http://support.apple.com/kb/PH2617?viewlocale=ja_JP&locale=ja_JP
オンラインのセキュリティを確保するため、パスワードは定期的に変更することをおすすめします。
https://www.facebook.com/safety/tools/
パスワードは定期的にこまめに変更しておきましょう。特にネットカフェや他人のパソコンでログインした場合、パソコンによってはメールアドレスやパスワードの情報が残る場合があります。パスワードの管理は自己責任となりますので、厳重な管理をお願いいたします。
http://mixi.jp/help.pl?mode=item&item=546
■パスワードは定期的に変更する
http://www.rakuten.co.jp/com/faq/information/20081029.html
セキュリティー上の観点から、Yahoo! JAPAN IDのパスワードは、定期的に変更いただくことをおすすめします。
http://www.yahoo-help.jp/app/answers/detail/p/544/a_id/41961/~/%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%82%92%E5%A4%89%E6%9B%B4%E3%81%97%E3%81%9F%E3%81%84
なお以下の内容をご確認いただき、安全なパスワードの設定と定期的なパスワード変更をお勧めいたします。
https://login.user.ameba.jp/auth-vrfy/verify
- LINE
なお、本件に関わらず、複数のサイト・サービスで同じパスワードを使用せず、定期的にパスワードの変更を行うことをお薦めいたします。
http://linecorp.com/press/2013/0802585
アンチウィルスベンダ編
守る情報の機密度によって、定期的にパスワードを変更し、少なくとも1年間はパスワードを再利用することを避けてください。
http://www.mcafee.com/japan/security/mcafee_labs/blog/content.asp?id=1273
パスワードの安全性向上のための取り組みとして、「パスワードの定期的な変更」が推奨される場合もある。シマンテックでも、「パスワードは、設定した瞬間から、攻撃にさらされるために攻撃への耐性は減り続ける」という立場で、定期的な変更を勧める、としている。
http://news.mynavi.jp/articles/2013/05/31/symantec/index.html
- TrendMicro
パスワードは、定期的に更新すべきでしょうか。
http://about-threats.trendmicro.com/RelatedThreats.aspx?language=jp&name=Will+Your+Passwords+Pass+the+Test%3F
もちろん、定期的に更新してください。こうして更新作業を習慣化し、サイバー犯罪者たちが簡単に破ることができないようにしておくべきです。
- Sophos
強固なパスワードポリシー (8 文字以上、定期的な変更) を取り入れる
http://www.sophos.com/ja-jp/press-office/press-releases/2013/05/ns-sbs-lose-money-to-cybercrooks.aspx
ISP編
So-net をより安全にご利用いただくために、お客さまご自身による、定期的なパスワードの変更をお願いしております。
http://faq.so-net.ne.jp/app/answers/detail/a_id/887/~/id-%E3%82%84%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%80%81%E3%83%A1%E3%83%BC%E3%83%AB%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6%E7%9F%A5%E3%82%8A%E3%81%9F%E3%81%84
知らない間にパスワードを不正利用されないために、パスワードは定期的に変更しましょう。
http://support.nifty.com/support/information/pwd.htm
- Biglobe(2012/05/08)
パスワードの定期的な変更は、そのような不正行為の危険性を回避する有効な手段です。
http://support.biglobe.ne.jp/news/news354.html
定期的にパスワードを変更する(変更するパスワードは適切な文字数のものとし、推測されにくいものを使用する)。
https://www.iij4u.or.jp/guide/care/
通信事業者編
定期的に変更を行う。また、変更の際は、過去に設定していたものは使用しない。
https://www.billing.ntt-east.co.jp/entrance
ユーザID・パスワードは、定期的に変更されることをおすすめします。変更後のユーザID・パスワードは、必ずお客さまご自身でお控えください。
http://www.ntt-west.co.jp/my/pc/kanyu/faq/idpw.html
より安心にdocomo IDを利用していただくため、定期的にパスワードを変更されることをお奨めします。
http://i.mydocomo.com/docomoid/utility/o-1_3c.html
- NTTコミュニケーションズ(2013/08/22)
みなさまに今後も安心してサービスをご利用いただくために、定期的なパスワード変更をお願いいたします。
http://support.ntt.com/supportTopInfo/detail/pid25000000n9
サポートパスワードは定期的な変更をお願いします。
http://cs.kddi.com/support/goriyou/help/use_support/keitai/moushikomi/support_idmenu.html
パスワードは定期的な変更が必要ですか?(中略)はい、管理者用パスワードは定期的な変更が必要です。
http://faq.mb.softbank.jp/detail.aspx?id=74602&a=102
SIer編
StarOffice Xシリーズなら、「IDとパスワード管理」がきちんと行われる様に、パスワード管理機能により個々の利用者をサポートします。(中略)定期的にパスワードを変更する。
http://jpn.nec.com/staroffice/kadai/security/P1.html
そこで安心しちゃダメ。パスワードは定期的に変更しようね。
http://www.fmworld.net/cs/azbyclub/qanavi/jsp/qacontents.jsp?rid=604&PID=7009-3549
セキュリティ事業者・団体編
同じパスワードの使いまわしは避け、定期的にパスワードを変更する
http://www.jnsa.org/ikusei/leakage/08_06.html
- LAC(2012/04/26)
可能であれば定期的にパスワードの変更を行う
http://www.lac.co.jp/security/report/pdf/20120426_jsoc_a18t.pdf
定期的に変更することをお勧めします。
http://www.mbsd.jp/casebook/20130603.html
Webサーバ更新用パスワードを定期的に変更し、アカウント情報が流出した場合の被害を最小に抑える
http://www.nri-secure.co.jp/ncsirt/2010/0112.html
- IBM TokyoSOC (2010/02/17)
パスワードや証明書などの認証情報を定期的に更新することで、漏洩した情報を用いた改ざん行為のリスクを低減することが可能です。
http://www-935.ibm.com/services/jp/iss/pdf/tokyo_soc_report2009_h2.pdf
- トライコーダ(2011年の記事と思われる)
一般的に言われていることですが、パスワードは類推されにくいものを利用し、定期的に変更を行う。
http://www.scsk.jp/sp/sys/articles/01/03.html
- バラクーダ(2013/08/05)
期限を設定して定期的にパスワードを変更する
http://www.barracuda.co.jp/column/entry20130805
政府関連組織編
一定の期間が経過したパスワードは、その変更をユーザに強制するとともに、過去に使用したパスワードの再使用は禁止すべきである。
http://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/101.html
他人に推測されにくいパスワードを設定し、定期的に変更しましょう。
http://www.jpcert.or.jp/magazine/security/illust/part1.html#sec03
パスワードを定期的に変更しなければならない理由には、以下のようなものがあります。
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html
・他人に推測されにくいパスワードでも、ツールを使って長時間かければパスワードが割り出されてしまうこと
・仮にパスワードが割り出されてしまっても、なりすましなどの被害を受け続けることを避けることができること
- 警察庁(2012/03/15)
アクセス管理者の講ずべき措置(中略)
http://www.npa.go.jp/cyber/statics/h23/pdf040.pdf
定期的にパスワードの変更を促す仕組み等の構築。
- 防衛省(2012/09)
個々の職員がパスワードの定期的変更や不審メールへの対処といったセキュリティ上の基礎的な動作を怠ることにより、防衛省・自衛隊のシステム及びネットワーク全体がサイバー攻撃に対してより脆弱になるリスクが存在する。
http://www.mod.go.jp/j/approach/others/security/cyber_security_sisin.html
9月4日に報じられた大阪市で起きた不正アクセス事件で、同市がパスワードの定期的変更を徹底すると話したことを受けてTwitter上では盛りあがっていましたが、ユーザーだけでなく事業者へもパスワード定期的変更に関する議論が広がるといいですね。
トレンド、シマンテック、マカフィーなど一般ユーザに馴染みの深いセキュリティ会社がすべてパスワードの定期変更を勧めている状況で、2,3年程度で人事ローテーションする役所の情シスの課長さんにツッコミを入れてもしょうがないと思うけどな−
— 北河拓士 KITAGAWA,Takuji (@kitagawa_takuji) 2013, 9月 5