先月、総務省から「パスワードの定期的な変更は不要」との方針が発表されました。
従来、パスワードは頻繁に変更することが推奨され、利用しているシステムやサービスによっては、定期的かつ強制的に変更が必要になるなど、利用や管理に苦慮されている方も多いと思います。

定期的なパスワード変更は不要の理由としては、パスワードの変更を繰り返し行っていると、①パターン化してしまい、単純なパスワードになりやすい、②使い回しが多くなる、③偽のパスワード変更通知に騙される可能性など、パスワード変更を行うことで発生するリスクが挙げられております。

定期的なパスワード変更は不要ですが、『良いパスワードを使うこと』が前提になっており、こちらも総務省からガイドラインも出されています。

▼良いパスワードの作成
(1)名前などの個人情報からは推測できないこと
(2)英単語などをそのまま使用していないこと
(3)アルファベットと数字が混在していること
(4)適切な長さの文字列であること
(5)類推しやすい並び方やその安易な組合せにしないこと

また、こちらはパスワードを管理する上で、従来から言われていることですが、

①複数のサービスで使い回さない。
  ⇒漏洩したパスワードを使っての不正ログインやSNSの乗っ取りなどの事件が後を絶ちません。
②他人に推測されにくいものを使う。
  ⇒名前や生年月日などから推測され、不正ログインされる事件が発生しています。
③パスワード解析ツールなどの機械的な処理で割り出しにくいものを使う。
  ⇒単語や単純な文字の繰り返しなどのパスワードは解析され、不正ログインなどの事件に繋がります。
④サービス側から流出した場合は、速やかに変更する。
  ⇒パスワードが流出した情報を入手したら、速やかにパスワードを変更するようにしましょう。

特に④については、残念ながら漏洩事件も多く発生しており、そのような情報を入手したら、速やかに対応して下さい（便乗したフィッシング詐欺メールなどが発生する可能性もあるので、公式サイトを確認するなど、少し注意が必要です）。

弊社もISMSを運用しておりますので、「パスワード管理」について、規定を設けておりますが、この機会に見直しを実施致しました。この方針発表により、「良いパスワード」を使い、パスワード管理の煩わしさが、少しでも軽減されることを願います。

総務省－社員・職員全般の情報セキュリティ対策－安全なパスワード管理：
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html

情報セキュリティ管理者：J