2018年4月10日火曜日

パスワードの定期的な変更が不要とされたことの意味とは?

先月末、セキュリティに関する興味深いニュースが広まりました。総務省が「パスワードの定期的な変更は不要」としたものです。企業の情報システムを管理されている皆さんは、これまで「パスワードは定期的な変更が推奨されている」と認識されていたと思います。今回は、この方針変更について考えてみます。

パスワードの定期的な変更が推奨されていた時代の根拠

認証が必要なサービスを利用する時に、パスワードの定期的な変更を求められることがあります。現在でも、個人で利用されるネットバンキング等では、わざわざ「パスワードが3ヶ月変更されていません」のような注意が出ることがあります。また、変更が強制された上に、過去に使ったパスワードを利用できないようにするなど、多くのシステムは、パスワードが定期的に変更されることを前提とした仕組みが備わっているようです。
そもそも、なぜ「パスワードを定期的に変える」必要があったのでしょうか。パスワードを自分以外に知られると、自分になりすまされる可能性があり、パスワードが漏洩したとしても、それが認識されていないかもしれないからです。1年前から使っているパスワードは、すでに漏れているかも知れず、自分が認識していないだけで、誰かが自分になりすましているかも知れません。
このルールの根拠について少し調べると、以下のような記事がありました。
あのパスワード規則、実は失敗作だった 2003年にパスワードの設定規則を考案した人が、後悔しているというものです。この規則は、世界中で採用され、パスワードは定期的に変えることがセキュリティに寄与するとされてきました。少し考えると、確かに安全そうなので、広く採用されているのだと思います。ルールを設定する側にとっては、責任を利用者に転嫁できることも、それを後押ししたように感じられます。
ただ、利用者の立場で考えると、この記事に書かれている通り、変更する必要がある場合は、自分が覚えていられるくらいの、最低限の長さで、特定の規則に従った小幅な変更にとどめることが多いようです。そうなると、攻撃者にとっては、以前のパスワードでは認証できなくなったが、末尾の数字に+1すると認証できたというような状況になります。

「定期的な変更」から「流出した時に変更」へ

今回ニュースになった総務省のサイトでは、定期的な変更ではなく、流出した場合に変更することを推奨しています。2017年に米国のNISTから出されたガイドラインに従った形になります。定期的な変更をしなくてもよくなった利用者は十分に安全なパスワードを使い続けられるようになります。
また、Googleを始めとした近年のサービスでは、日常で使用されている環境と比較して、異なる環境や地域からのログインが試みられた場合に、ユーザに通知する機能があります。自分がログインしようとしたのでなければ、誰かがパスワードを持っているか、持っていなくても、想定されるパスワードでログインしようとしているということになります。このような場合に、変更しようということになります。
また、パスワードだけに頼らない認証方法も、近年では当たり前になってきました。ワンタイムパスワードや、多要素認証です。パスワードという原始的で、人の記憶や努力に頼った仕組みと比較すると、仕組みとしてより洗練されてきたと言えます。

複数のサービスでのパスワード流用は避ける

パスワードの定期的な変更が不要になったからといって、流出した場合には変更する必要があります。また、あるサービスで流出したパスワードが、他のサービスでも使い回されていた場合には、そちらも危険ということになります。そのため、使っているサービス毎にそれぞれ固有のパスワードを使うことが推奨されています。また、それぞれ、十分に強力なものを設定する必要があります。

認証を一つにまとめると、安全かつ利便性が高い

近年多くのクラウドサービスが提供され、みなさんの組織でも、複数のサービスが使われているものと思います。定期的な変更をしなくても良さそうだとは言え、それぞれ固有で十分に安全なパスワードを設定するというのも、なかなか大変です。覚えきれないパスワードは、一部だけ変更したり、大胆にも「サービス名を付加するだけ」などの使われ方をされそうです。このような安易な規則に則ったパスワードは、攻撃者の標的になります。
では、利用者の利便性を損なうことなく、セキュリティを保つ方法はないのでしょうか。今考えられる方法は主に2つあると考えられます。
  1. パスワードマネージャの利用
  2. シングルサインオンによる認証の統合
前者は、「パスワードマネージャ」というサービスにサービス毎のパスワードを覚えさせるという方法です。パスワードマネージャにログインするために、一つだけパスワードを覚える必要がありますが、それ以外は、パスワードマネージャが覚えていてくれるので、十分に強力なパスワードを個別に設定することが可能です。ただ、この方法は、一部のサービスは組織向けに出来ているものの、多くは個人利用を想定しているようです。
後者は、個別のサービスでは認証せず、認証を別の仕組みに移譲してしまうシングルサインオン(SSO)という方法です。個別のサービス(SP:Service Provider)にログインしようとすると、認証サービス(IdP:Identity Provider)に飛ばされるという仕組みです。IdPでログインすると、もともとログインしようとしていたSPに戻ります。つまり、SPのパスワードは設定せず、IdPのパスワードだけ覚えれば良いということになります。
どちらも、利用するパスワードは一つで済みますので、利便性を損なうことなく、十分に安全なパスワードを設定することができるでしょう。

Gluegent Gateは、SSO + IDM の機能を提供します

弊社のサービス、Gluegent Gateは、SSOの機能を提供します。認証を一手に引き受けることで、対応するサービスを高いセキュリティと利便性を保ったまま利用することが可能です。また、各サービスへのプロビジョニングが出来たり、AD/LDAPをID源泉として設定することが出来るなど、組織向けの機能を多く持っています。
今回のニュースは、単純に「定期的な変更をしなくてよくなった」とだけ捉えずに、よりセキュアな運用に進むためのチャンスと捉えるべきだと思います。利用者の利便性を下げ、無駄とも言える努力を強いる運用から、利便性を確保した上で安全も提供する運用にレベルアップしましょう。


   Gluegent Gate