「パスワードは定期的に変更する必要なし」、総務省の方針転換話題に　「むしろパターン化する方が問題」

　インターネットのパスワード設定を“定期的に変更”すべきかどうかについて、総務省が方針を「定期的に変更すべき」から「定期的な変更は不要」へと転換したことが、日本経済新聞Web版の記事をきっかけに注目を集めています。総務省サイバーセキュリティ課に確認したところ事実で、公式サイトでは2017年11月から「定期的な変更は不要」という文言を掲載していたと説明しました。

　総務省ではネットを安全に利用するための情報を発信する「国民のための情報セキュリティサイト」を運営しており、企業や団体からネットセキュリティの参考にされてきました。以前は「設定と管理のあり方」項目において、「安全なパスワードを作成し、パスワードの保管方法も徹底したとしても、同一のパスワードを長期間使い続けることは避けなければなりません。定期的にパスワードを変更するようにしましょう」と呼び掛けていました。

　しかし2017年秋には「定期的な変更は不要」の文言を追記。「実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません」「むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります」と、定期的に変更する方がかえって問題になる可能性を示唆しています。

　方針を変えた理由についてサイバーセキュリティ課は、内閣サイバーセキュリティセンター（NISC）がパスワードの定期変更について同様の趣旨を示していたのを受けて対応したと説明しました。

　Twitterでは「変更する必要なんてなかったんだ」「手間が省ける」「浸透してほしい」と総務省の方針を歓迎する声があがっています。一方で「やっと変わったのか」「組織に広がるまではまだ時間がかかりそう」と実際に企業のセキュリティに方針が反映されるには時間がかかるとの意見も散見されます。