パスワードの頻繁な変更は不要？その理由とは

　インターネットを利用していると事あるごとにパスワードの設定を求められます。不正ログイン防止の観点から、パスワードは定期的に変更することが推奨されてきました。

　それが最近になって、総務省はこの方針を大転換しました。定期的な変更がむしろ危険であることを明らかにしたのです。

　なぜ方針を転換したのか。安全なパスワードの設定方法はあるのか、解説します。

発表までの紆余曲折

　パスワードの定期的な変更を要求すべきでないことは、2016年、総務省の発表以前に米国国立標準技術研究所がガイドラインとして発表していました。日本では、それに追随する形で、まずは2016年12月に内閣サイバーセキュリティセンターが方針変更を公表。この時点で私たちのもとに情報が届いていてもよかったのですが、なぜだかそうはなりませんでした。

　それから時を経て、総務省が注意喚起を始めたのは2017年秋。そのため、じつは一部のネットユーザーの間では、総務省の発表を待つまでもなく、パスワードの定期的な変更が危険なことは共有されていました。

　とはいえ、多くのユーザーが驚きをもって方針転換を知ったのは総務省の発表後のこと。いまだにこのことを知らない方も少なくないはずです。

なぜ定期的な変更は危険なのか

　従来言われていたように、定期的に変更していない方が見破られそうな印象があります。なぜ定期的な変更は危険なのでしょう。

　定期的に変更すると、パスワードの作り方がパターン化し簡単なものになったり、使い回しするようになる傾向があるのだそうです。なるほど、そう言われてみるとたしかに、何度も何度もパスワードを変更するのは面倒ですし、すぐにパターン化したり、使い回したりしてしまいそうです。

　ただし、当たり前のことですが、絶対にパスワードを変える必要がないということではありません。アカウントが乗っ取られたり、情報が流出した事実を知った時には、かならず変更するようにしてください。

安全なパスワードの設定方法

　総務省は「名前などの個人情報からは推測できないこと」「英単語などをそのまま使用していないこと」「アルファベットと数字が混在していること」「適切な長さの文字列であること」「類推しやすい並び方やその安易な組合せにしないこと」の5つを安全なパスワードの設定方法として挙げています。

　自分や家族の名前、ペットの名前、生年月日、住所、車のナンバー、電話番号、社員コードなど他人から類推されやすい情報で構成されていたり、ユーザーIDと同じになっていたら危険だと思った方がいいでしょう。

　パスワードの保管方法として挙げられているのは「同僚などに教えない」「パスワードを電子メールでやりとりしない」「パスワードのメモをディスプレイなど他人の目に触れる場所に貼ったりしない」「やむを得ずパスワードをメモなどで記載した場合は、鍵のかかる机や金庫など安全な方法で保管する」「複数のサービスで使いまわさない」。

　サイバーセキュリティは財産を守るための大切な防犯対策です。後の祭りにならないように、サイバーセキュリティの情報にはできるだけアンテナを張っておくようにしたいものです。