◆ネットの世界の常識の転換 = パスワード「頻繁に変更はＮＧ」／「パスワードの定期的な変更が推奨」 ⇒ 「パスワードは変更しない方が良い」／ただし、もともと「同一パスワードの使いまわしは良くない」

　ネットの世界でパソコンや各種機器、ネットワークなど安全を高めるために、「パスワードの定期的な変更」をすることが推奨されてきた。・・・それが、突然、「定期的なパスワード変更は逆に危険！」なんだという。
　 一昨日の★≪日経／「パスワード『頻繁に変更はＮＧ』　総務省が方針転換」≫ との話。

　変更しなくていいなら、楽な話。調べてみたら、「とはいっても、パスワードの使いまわし、つまり同一パスワードを各種の機器・別の機器で使うのは良くないこと」に変わりはない。
　ということで、次を記録しておく。

●定期的なパスワード変更は逆に危険！？総務省が方針変更／2018年3月27日　Source：日経

●情報セキュリティハンドブック／内閣サイバーセキュリティセンター（NISC）
●「パスワードの定期変更はすべきでない」　米研究機関がセキュリティ対策関連の文書で明言／iPhone Mania　2016年06月28日
●総務省 安心してインターネットを使うために　国民のための情報セキュリティサイト／設定と管理のあり方

　なお、今朝の気温は６度で、快適にウォーキングしてきた。
　また昨日３月２７日の私のこのブログへのアクセス情報は「閲覧数６.４２８　訪問者数１,０９３」だった。

●人気ブログランキング参加中　=　今、１位　　↓１日１回クリックを↓　　★携帯でも　クリック可にしました　→→　携帯でまずここをクリックし、次に出てくる「リンク先に移動」をクリックして頂くだけで「１０点」　←←
　★パソコンは　こちらをクリックして　→→人気ブログランキングへ←←このワン・クリックだけで１０点

●パスワード「頻繁に変更はＮＧ」　総務省が方針転換
　　　　　日経　2018/3/26 17:25
　定期的に変えるのはかえって危険――。総務省がインターネット利用時のパスワードについて、従来の“常識”を覆すような注意喚起を始めた。「推測しやすい文字列になって不正アクセスのリスクが増す」というのが理由で、複雑なパスワードを使い続けるよう呼びかけている。方針転換に困惑する声も少なくない。
　「定期的にパスワードを変更しましょう」。３月１日、総務省の「国民のための情報セキュリティサイト」からこんな記述…

●定期的なパスワード変更は逆に危険！？総務省が方針変更
　　　　　　iPhone Mania　2018年3月27日 19時39分　Source：日本経済新聞,WSJ
パスワードが60日間以上変更されていません――こうした定期的にパスワードの変更を迫る表示は、もはやあらゆるサイトやデバイスでお馴染みになっています。しかし、総務省によると「パスワードは頻繁に変更しないほうがいい」そうです。

定期的な変更は逆にリスクを増大させかねない
常識的に考えると、パスワードの定期変更はリスクを軽減するうえで有効なようにも思えます。

しかし最近になって、総務省の運営する「国民のための情報セキュリティサイト」から、定期的なパスワード変更を促す文言が消えたそうです。2017年秋にも「定期変更は不要」との文言を追加しており、同省がむしろパスワードを固定するよう、国民に働きかけていることは明らかです。

背景には、2016年頃から増えてきた、定期変更はむしろリスクを高めることに繋がりかねないという専門家たちの判断があります。

日本経済新聞に専門家が語ったところによると「頻繁に変更を求められると、少ない字数で覚えやすい語句を使ったり、変更前と似た語句を使ったりするようになり、他人が類推しやすくなる」のだとか。つまり、自分の生まれた西暦にあやかってtanaka1990としていたところを、親の西暦であるtanaka1960にしたところで、有効どころか類推リスクを高めるだけだ、というわけです。

もちろん、パスワードをランダム生成する場合はその限りではないでしょうが、一般的にランダムに文字列を組み合わせるユーザーはほとんどいないでしょう。

ガイドラインに携わった人物も「後悔」
こうした「パスワードの常識」を見直す動きは、今回に始まったことではありません。

最近も、かつてアメリカ国立標準技術研究所の所長を務め、パスワードのガイドライン作成に関わったビル・バー氏が、「小文字のほかに、大文字や数字を組み合わせても大した意味がない」と発言、誤りを後悔していると述べ、大きな注目を集めました。

なお、バー氏も同様に、定期的な変更がむしろ攻撃のリスクを高めてしまう可能性があると指摘しています。

●　内閣サイバーセキュリティセンター（NISC） 　　　　　　情報セキュリティハンドブック セキュリティを理解して、ネットを安全に使う 第2章　この章では私たちの安全な通信を支えるパスワード、無線 LAN・ウェブ・メールの暗号化などを通じて、セキュリティに対する理解を深めます。　私たちの生活を支えるインターネットが信頼出来る存在であるためには、これらの技術がみなさんによってきちんと運用されることが重要です。　初心者向けとしてはやや難しい項目ですが、なるべく流れを持って平易な言葉で解説していきますので、ぜひ読んでセキュリティへの理解を深めてください。 ・・・(以下、略)・・・

●「パスワードの定期変更はすべきでない」　米研究機関がセキュリティ対策関連の文書で明言 　　　　　　　　　　2016年06月28日 　（沓澤真二） 　アメリカの科学研究機関NIST（米国国立標準技術研究所）のコンピューターセキュリティ担当部門、CSD（Computer Security Division）が発行した文書「800-63B」が注目を集めています。デジタル認証のガイドラインとして書かれたもので、パスワードに関する項目に、「パスワードの定期変更はすべきでない」と明記。セキュリティの常識を変える可能性があります。 　焦点となった文言は、「5.1.1.2. Memorized Secret Verifiers」に記載。「ユーザーが攻撃を受けたとの証拠の下に変更を要求した場合を除き、認証側は定期的にパスワードの変更を求めるべきではない」と述べられています。パスワードの定期変更を促すWebサービスは多いですが、ユーザーが前のパスワードに数字を加えるなど、予測しやすい変更を行ってしまいがちなのも事実。そういった観点からの記述と思われます。 　同項目では、例えば「最初に飼ったペットの名前は？」といった、いわゆる「秘密の質問」についても否定。パスワードのヒントとなるものに、本人以外のアクセスを許可すべきではないとしています。 　CSDの文書は、アメリカの政府機関が行うセキュリティ対策の指針として用いられており、世界中の政府機関や民間企業が参考としています。今回の文書はまだ草案の段階ですが、これを機会に、IDとパスワードだけに頼らない、指紋やトークンを用いた多要素認証を導入する機運が高まるかもしれません。

●総務省 安心してインターネットを使うために　国民のための情報セキュリティサイト 　　　　　　　設定と管理のあり方 他人に自分のユーザアカウントを不正に利用されないようにするには、適切なパスワードの設定と管理が大切です。 適切なパスワードの設定・管理には、以下の3つの要素があります。 安全なパスワードの設定 安全なパスワードとは、他人に推測されにくく、ツールなどで割り出しにくいものを言います。 (1) 名前などの個人情報からは推測できないこと (2) 英単語などをそのまま使用していないこと (3) アルファベットと数字が混在していること (4) 適切な長さの文字列であること (5) 類推しやすい並び方やその安易な組合せにしないこと 逆に、危険なパスワードとしては、以下のようなものがあります。このような危険なパスワードが使われていないかどうか、チェックをするようにしましょう。 (1) 自分や家族の名前、ペットの名前 yamada、tanaka、taro、hanako（名前） 19960628、h020315（生年月日） tokyo、kasumigaseki（住所） 　　　 3470、1297（車のナンバー） ruby、koro（ペットの名前） (2) 辞書に載っているような一般的な英単語 password、baseball、soccer、monkey、dragon (3) 同じ文字の繰り返しやわかりやすい並びの文字列 aaaa、0000（同じ文字の組み合わせ） abcd、123456、200、abc123（安易な数字や英文字の並び） asdf、qwerty（キーボードの配列） (4) 短すぎる文字列 gf、ps この他、電話番号や郵便番号、生年月日、社員コードなど、他人から類推しやすい情報やユーザIDと同じものなどは避けましょう。 パスワードの保管方法 せっかく安全なパスワードを設定しても、パスワードが他人に漏れてしまえば意味がありません。以下が、パスワードの保管に関して特に留意が必要なものです。 パスワードは、同僚などに教えないで、秘密にすること パスワードを電子メールでやりとりしないこと パスワードのメモをディスプレイなど他人の目に触れる場所に貼ったりしないこと やむを得ずパスワードをメモなどで記載した場合は、鍵のかかる机や金庫など安全な方法で保管すること パスワードを複数のサービスで使い回さない（定期的な変更は不要） またパスワードはできる限り、複数のサービスで使い回さないようにしましょう。あるサービスから流出したアカウント情報を使って、他のサービスへの不正ログインを試す攻撃の手口が知られています。もし重要情報を利用しているサービスで、他のサービスからの使い回しのパスワードを利用していた場合、他のサービスから何らかの原因でパスワードが漏洩してしまえば、第三者に重要情報にアクセスされてしまう可能性があります。 なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。 これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所（NIST）からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです（※１）。また、日本においても、内閣サイバーセキュリティセンター（NISC）から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています（※２）。