連載
» 2018年08月21日 10時00分 公開

セキュリティ強化塾:パスワードは定期的に変更すべきか (1/4)

これまでのパスワード管理の常識はもはや過去のもの。パスワードの定期更新はリスクを高めるだけだ。

[キーマンズネット]

  ITシステムを利用するに当たり、パスワードを1つも使っていないという人はほとんどいないはずだ。だからこそ「月に一度、定期的に新しいものに変える」「推測できるような簡単なものは使わない」といったパスワード管理が語られてきた。だが、これまでのパスワード管理の常識はもはや過去のもの。パスワードの定期更新はリスクを高めるだけだ。

2018年もスタート「STOP! パスワード使い回し!」キャンペーン

 私たちに最も身近なセキュリティのトピックスといえば「パスワード」だろう。スマートフォンやPCを利用するに当たり、パスワードを1つも使っていないという人はほとんどいないはずだ。パスワードはサービスやシステムを利用する上で、「あなたがあなたである」ことを証明するためのものだ。

 つまり、あなたの記憶が「認証の鍵」となる。万が一、あなた以外が鍵を奪って悪用した場合、サービスやシステムはあなたではない誰かを認証せざるを得ない。

 Webサービスが攻撃され、IDとパスワードの組み合わせが漏えいする事件が相次いだ。報道されて明らかになる事件だけでなく、パスワードが盗まれたことすら気付けないケースもあるだろう。

 複数のサービスで同じパスワードを使い回していればどうなるか。悪意がある者は、いずれか1つのサービスから漏れたIDとパスワードの組み合わせを使って、手当たり次第に他のサービスへのログインを試みる。結果、「正規の方法」で不正ログインを許すことになる。

 これが、JPCERTやIPAが毎年「STOP! パスワード使いまわし!」キャンペーンを実施して啓発を続ける大きな理由だ。

パスワードを使いまわすリスク 図1 パスワードを使いまわすリスク(出典:STOP! パスワード使い回し!キャンペーン2018)

 あなたが利用するサービスを数えてみてほしい。クラウドサービスなども含めれば、数十のサービスを当たり前のように利用する人もいるだろう。果たして、利用サービスの数と同じだけの異なるパスワードを準備し、全て記憶できるだろうか。恐らく多くの人にとって、「パスワード管理の面倒くささ」パスワードを使いまわすリスクを上回っている。

 今回は、パスワードに関係する最新トピックを紹介しよう。パスワードに関連するリスクを把握することで、対策の必要性を考えてもらいたい。

       1|2|3|4 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

ホワイトペーパーや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。