2019年5月15日水曜日

「パスワードの定期的変更」に関する認識を改めましょう

マイクロソフトが、パスワードの定期的な変更に関するポリシーを変更するというニュースが話題になっています。以前の記事(パスワードの定期的な変更が不要とされたことの意味とは?)でも、同様の問題について触れましたが、マイクロソフトがこのポイントに触れたことは、大きな意味があると思います。今回は、その内容について見てみます。


セキュリティ・ベースラインから「定期的なパスワード変更の強制」を削除

マイクロソフトは、Windows 10のv1903のアップデートの「ドラフト」として、以下の記事を公開しています。

Security baseline (DRAFT) for Windows 10 v1903 and Windows Server v1903

ここで、触れられているアップデート内容は複数ありますが、注目されている点は、

Dropping the password-expiration policies that require periodic password changes.

のところです。記事中では、この点について、特に、詳細を記述しています。要点をまとめると、以下のようになります。

  • パスワードのみでセキュリティを確保するのは難しい。
  • 人間がパスワードを作ると、推測可能なものや、短いものになりやすい。長いものを強制されると書き留めて、無意味なものにしてしまう。
  • 最近の研究では、パスワードの有効期限ポリシーなどの「慣行」の効果が疑問視されている。「慣行」の代わりに、禁止パスワードリストや多要素認証がある。
  • パスワードによる保護以外の手段を講じている場合は、パスワードの定期的変更こそが問題を引き起こす原因になり得る。
  • ベースラインに「パスワードの定期的な変更」を含んでしまっていると、他の有効な対策を講じているにも関わらず、「ベースラインからの乖離がある」ということにより、セキュリティの評価値が低く判定されてしまう場合がある。
さらに、簡単にまとめると、「昔からパスワードは定期的に変更するものとされてきたけど、人間に変更させる時点で意味がないから、パスワード以外の方法も合わせて、セキュアにしよう。そして、ベースラインに、それを入れておくと、かえって危ないから外すことにする。」となるでしょうか。

パスワード変更を利用者任せにすることのリスク

冒頭でふれた以前の記事(パスワードの定期的な変更が不要とされたことの意味とは?)は、総務省が公開したセキュリティ情報が、「定期的な変更を強いるのは危ない」としたことについて触れました。今回のマイクロソフトの変更も、同様の立ち位置です。広く使われているOSのベンダとして現実的な対応をしたと言えるでしょう。
どちらも、パスワード変更を利用者任せにすることのリスクと、定期的にそれを強いることで返って危険になると指摘しています。パスワードが漏れたのでもなければ、変更する必要はなく、利用者に頻繁に変更させることで、弱いパスワードを利用する傾向が高まり、結果として、リスクが高まります。

パスワード以外の要素も含めることで、セキュリティを強化

ID/パスワードによる認証は依然として、認証処理の中心と言えますが、現在は、その他の要素による認証も多く提供されています。これらを複数組み合わせることで、セキュリティリスクを軽減し、安全を確保することができます。
G Suiteや、Office 365などをはじめとした、多くのクラウドサービスでは、それ単体で、パスワード認証だけでなく、二段階認証を提供しており、パスワードのみでの脆弱性を補完するものです。ただ、複数のクラウドサービスを使うことが多いとそれぞれの認証が異なり、より複雑となって、利用者の利便性を損ないます。セキュリティの高さを確保できたとしても、利用者が利用しにくいのは、問題です。
弊社が提供するGluegent Gateは、パスワードだけでなく、複数の要素による認証をサポートしています。さらに、Gluegent Gateは、複数のクラウドサービスを統合管理し、SSOを提供しますので、複数のサービスを利用する場合にも、ユーザの利便性を損なうことなく、高いセキュリティを確保することができます。

「これまでそうだった」に安心せずに、セキュリティ対策を見直す

総務省やマイクロソフトの姿勢の変化は、ユーザの行動に直接関わり分かりやすい事例ですが、これまで当たり前として取られてきたセキュリティ対策が実はそれほど効果がないことが分かったり、時代の流れに伴い、意味を失っていくということがあります。その効果について考えもせずに、「これまでこうだったから」という理由だけで適用し続けることが危険であるということを再認識しましょう。セキュリティ対策は、永続的にこれで100%安全ということはありません。常にその効果について検討、確認し、必要に応じて更新していくことが必要です。

   Gluegent Gate