総務省「ネットのパスワードを小まめに変更は逆に危険」との呼びかけは正しいのか？

パスワードは定期的に変更すると危険なのか

　かつてパスワードを定期的に変更するように助言していた総務省が、なぜ急に方針を転換したのか。ITジャーナリストの三上洋氏に聞いた。

「パスワードを定期的に変更しないほうがいいというのは、おおむね10年ほど前からセキュリティ関係者の間で言われていたことです。ほとんどの研究者が、パスワードの定期的な変更は、デメリットのほうが多いと考えていました。日本のセキュリティ関連のトップ団体であるIPA（情報処理推進機構）でも、2～3年前からパスワードの定期変更については推奨しなくなっています。そういう国内の動向を踏まえ、さらにアメリカのNIST（米国立標準技術研究所）が昨年ガイドラインを変更したことを受けて、日本政府（総務省）も見解を変えたのだと思います」（三上氏）

　パスワードを定期的に変更すると、なぜデメリットが多くなるのか。

「定期的に変更をすると、パスワードが単純化してしまうからです。例えば、3カ月に1回変更するとします。面倒なので、従来のパスワードの末尾に変更した年月日（201804）などと付けたり、別のサービスで使っている同じパスワードを使い回すことになるので、パスワードが単純化、パターン化して、穴が多くなりやすいからです。

　攻撃する側は、よく使われている単純なパスワードを基に推測したり、すでに漏れているパスワードリストを基に不正ログインしようとするので、定期的な変更をするとデメリットのほうが大きくなるのです。

　つまり、『定期的に変更しましょう』とユーザーに呼びかけることが、パスワードをより甘いものにしてしまうのです。だから呼びかけることをやめたのです。もちろん、反論もあり、依然として定期的変更は必要だという研究者の方もいらっしゃいます」（同）

　では、どのようにすれば安全なパスワードをつくれるのか。NISTでは、推奨されるパスワードについて、「覚えやすくてもいいので、長くすること」としている。定期的に変更しないというだけではなく、異なる文字種を混在させる必要もないという。