「定期的なパスワード変更」の歴史とは？安心してSmartHRを使うためのTipsもご紹介

公開日: 2020.10.16

パスワードの定期変更の歴史
定期的なパスワードの変更が推奨されない理由
では、どうすればよいのか？
SmartHRをより安心してご利用いただくために
まとめ
1. 【参考文献】

（2020-10-22 更新）
・「国民のための情報セキュリティサイト」について、IPA によるものとしていましたが、正しくは総務省によるものでした。修正いたしました。
・パスワード保管に関するTipsを追記しました。
===

こんにちは、セキュリティグループ CIO の内藤です。

近年、定期的なパスワードの変更は時代遅れなセキュリティポリシーと考えられるようになってきました。そもそも一体なぜこのポリシーは作られたのでしょうか？また、より安全にサービスを利用するために、サービスの利用者にできることは何があるのでしょうか。

SmartHRの導入を検討されている企業様からいただくセキュリティチェックシートの中に、時々「システムはパスワードの定期的な変更を求める」などのような項目を見かけることがあります。残念ながらSmartHRではパスワードの定期的な変更を求める機能は提供しておりません。また、今後も提供する予定はありません。

今回は「定期的なパスワード変更」の歴史を整理しつつ、安心してSmartHRを使うためのTipsもあわせてご紹介します。

パスワードの定期変更の歴史

そもそも「定期的にパスワードを変更する」というポリシーはいつごろ、どのようにして生まれたのでしょうか。

その起源はインターネットが生まれる前まで遡るようです。遅くとも1985年にアメリカ国防総省により作成されたパスワード管理に関するドキュメント「Department of Defense Password Management Guideline（CSC-STD-002-85）」には、既に「a user’s password must be changed periodically（利用者は必ず定期的にパスワードを変更すること）」という記述が登場していました（*1）。

当時、利用されている平均的なパスワードの桁数は少なく、またハッシュ化技術も現在ほど強力なものではありませんでした。幸い平均的なコンピューターの性能は今とは比べ物にならないほど低いものでしたが、それでも攻撃者は総当りで数十日程度でパスワードを推測可能でした。そのため、当時のセキュリティ専門家は定期的なパスワードの変更を提唱したのではないかと考えられます。

また、2009年に米国標準技術研究所（NIST）が公開したガイドライン（のドラフト）「Guide to Enterprise Password Management （エンタープライズパスワード管理ガイド）」には「Changing passwords periodically also slightly reduces the risk posed by cracking（定期的なパスワードの変更はクラッキングによるリスクをわずかに軽減する）」という記述もあります（*2）。

日本国内を見てみると 2009年に総務省が発行した「国民のための情報セキュリティサイト」にも定期的なパスワードの変更が推奨されていました（*3）。

総務省「国民のための情報セキュリティサイト」からキャプチャした文章 — 出典：総務省「国民のための情報セキュリティサイト」

一方で、2007年頃からセキュリティ専門家の間では「定期的なパスワードの変更はメリットよりデメリットのほうが大きいのではないか」と議論されるようになりました。そのような中、2015年にはイギリス政府機関（NCSC）がパスワードのガイダンスを更新し、パスワードの定期的な変更ポリシーを廃しました（*4）。

そして2017年には、NISTによって「Digital Identity Guidelines（SP 800-63）」が更新され、その中の「Authentication and Lifecycle Management（SP 800-63B）」にてパスワードの定期的な変更ポリシーが非推奨となっています（*5）。

これに追随し、2018年にはIPAもパスワードの定期変更を不要と記述を改めたというニュースは、記憶に新しい方もいらっしゃるのではないでしょうか（*6）。

定期的なパスワードの変更が推奨されない理由

それでは一体なぜ、定期的なパスワードは非推奨となったのでしょうか。主に以下の理由が挙げられます。

定期的なパスワードの変更は、一定期間にパスワードを盗まれ、使用された場合にのみ有効であり、パスワードが盗まれないのであれば失効させる必要がない。また、パスワードが盗まれたことが明らかな場合は有効期限を待つことなく即座に変更するはずである。
パスワードが盗まれることを前提とするのであれば頻繁な変更が必要となり、利用者はより覚えやすいパスワードを設定してしまう危険性がある。あるいはポストイットにパスワードを書いてしまうかもしれない。
ユーザビリティが犠牲となり、システム利用者に対しセキュリティ施策へのネガティブな印象を抱かせる。
システム利用者に余計な時間をとらせる。

では、どうすればよいのか？

ではサービスの利用者である私たちは、パスワードを設定するにあたってどのような点に気をつければ良いのでしょうか？ NIST や IPA のガイドラインには以下が推奨されています。

1つのサービスからパスワードが漏洩した際の影響を最小化するために、パスワードを使い回さない。
紙に書いて保存しない。
辞書攻撃に対抗するために、よく使われるパスワードを使わない。
長くする。複雑で覚えづらいものではなく、単純で十分な長さのフレーズの利用を検討する。
漏洩が発覚した場合には即座にパスワードを変更する。

SmartHRをより安心してご利用いただくために

最後にパスワードに限らず、より安心してSmartHRをご利用いただくため、特に安全にアカウントを保護するためのTipsをご紹介いたします。

（1）環境編

信頼できるネットワークを利用しましょう

SmartHRとの通信はSSL/TLSによって全て暗号化されています。しかし、利用するネットワークによっては盗聴のリスクもあります。オフィス外から接続する際は、不特定多数が利用するフリーWi-Fiなどの利用は避け、ご自身で契約しているインターネット回線を利用しましょう。緊急の際にはスマートフォンのテザリング機能を利用するのも有効です（その場合は残りのギガには気をつけて！）。