ブログトップ 記事一覧 ログイン 無料ブログ開設

piyolog RSSフィード

2013-09-07

世の中に満ち溢れる「パスワードの定期的変更」についてまとめてみた。

| 11:23 | 世の中に満ち溢れる「パスワードの定期的変更」についてまとめてみた。を含むブックマーク

いつも盛り上がる「パスワードの定期的な変更」ネタですが、多くの組織でこの対策が推奨されているということをTwitterで知りました。ここではパスワードの定期的変更についてまとめます。

パスワードの定期的変更の考察・関連記事

まずはここを読みましょう。

パスワードの定期的変更をすることによる弊害

パスワードの定期的変更をすることで逆効果となり得るケースも考えられます。辻さんの記事から引用。

パスワードの定期的な変更を行うことで、どうしても自身が「覚えやすい」パスワード、つまりは「クラックされやすい」パスワードを設定してしまいがちではないだろうか。その上、30日や60日といった期間で定期変更を求められれば、複数のシステムで同一パスワードの使い回しが発生してしまう可能性も高い。

http://www.atmarkit.co.jp/ait/articles/1102/04/news117_3.html

パスワードの定期的変更に効果はあるのか

徳丸さんの記事に「効果がなくはない」条件が記載されています。

高橋: 結局、パスワードの定期的変更は意味がないという結論なんですか?

徳丸: そう言いたいところですが、理論的には、次の条件を満たすサイトを使わないといけない場合は、パスワードの定期的変更が効果がなくはない、ということになります。

高橋: 微妙な言い方ですね。どのような条件ですか?

徳丸: はい。箇条書きにしますね。以下の3条件を満たす場合、パスワードの定期的変更が意味がある可能性があります。

長期に情報が漏洩し続けると被害の拡大するメール、メッセージング、ストレージなどのサービスである

2段階認証リスクベース認証、ログイン履歴確認画面などのセキュリティ施策がない

情報漏洩があっても、サイトからアナウンスされない可能性がある or フィッシング被害にあう心配がある

高橋: フィッシングは利用者の責任ですが、他は残念な感じがしますね。しかし、このようなサイトを使う場合は、パスワードの定期的変更で安全性が高まるのですか?

徳丸: いや、攻撃を受けると、過去のデータは全て漏洩した上で、次のパスワード変更までは情報が漏洩し続けます。

高橋: 次回の「定期的変更」で漏洩が止まる、と。

徳丸: いや、それも確実なものではありません。

高橋: あっ、そうなですか?

徳丸: はい。情報が漏洩してもサイトからアナウンスがないということは、サイト側も気づかない「完全犯罪」の可能性が高いわけです。この場合は、攻撃者が再度攻撃すると、パスワードを変更していても防御できません。

高橋: なんか、残念な上に、パスワードを変更しても、攻撃を断ち切れる訳ではないのですか…

http://blog.tokumaru.org/2013/08/2.html

しかし世の中には「パスワードの定期的変更」が満ち溢れている

というわけでパスワードの定期的変更には手間がかかる割に効果がそこまでないことに気づいたわけです。では、世の中ではこのパスワードの定期的変更が推奨されているのでしょうか。なお、推奨をしている対象が「オンライン」か「オフライン」か、または特に意識せず書いているかもポイントです。分かる範囲で掲載日付も記載しておきました。

インターネットサービス編

パスワード第三者に知られた場合、その人物があなたの知らないうちにあなたのアカウントにアクセスする可能性があります。パスワードを定期的に再設定すると、このタイプの不正アクセスを制限するのに役立ちます。

https://support.google.com/accounts/answer/32040?hl=ja

パスワードなどの情報は、定期的に変更することをお勧めします。

http://www.microsoft.com/ja-jp/msaccount/faq.aspx#faq03

情報を保護するために、iCloudパスワードは定期的に変更してください。

http://support.apple.com/kb/PH2617?viewlocale=ja_JP&locale=ja_JP

オンラインのセキュリティを確保するため、パスワードは定期的に変更することをおすすめします。

https://www.facebook.com/safety/tools/

パスワードは定期的にこまめに変更しておきましょう。特にネットカフェや他人のパソコンでログインした場合、パソコンによってはメールアドレスパスワードの情報が残る場合があります。パスワードの管理は自己責任となりますので、厳重な管理をお願いいたします。

http://mixi.jp/help.pl?mode=item&item=546

パスワードは定期的に変更する

http://www.rakuten.co.jp/com/faq/information/20081029.html

セキュリティー上の観点から、Yahoo! JAPAN IDのパスワードは、定期的に変更いただくことをおすすめします。

http://www.yahoo-help.jp/app/answers/detail/p/544/a_id/41961/~/%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%82%92%E5%A4%89%E6%9B%B4%E3%81%97%E3%81%9F%E3%81%84
  • CyberAgent

なお以下の内容をご確認いただき、安全なパスワードの設定と定期的なパスワード変更をお勧めいたします。

https://login.user.ameba.jp/auth-vrfy/verify

なお、本件に関わらず、複数のサイト・サービスで同じパスワードを使用せず、定期的にパスワードの変更を行うことをお薦めいたします。

http://linecorp.com/press/2013/0802585
アンチウィルスベンダ

守る情報の機密度によって、定期的にパスワードを変更し、少なくとも1年間はパスワードを再利用することを避けてください。

http://www.mcafee.com/japan/security/mcafee_labs/blog/content.asp?id=1273

パスワードの安全性向上のための取り組みとして、「パスワードの定期的な変更」が推奨される場合もある。シマンテックでも、「パスワードは、設定した瞬間から、攻撃にさらされるために攻撃への耐性は減り続ける」という立場で、定期的な変更を勧める、としている。

http://news.mynavi.jp/articles/2013/05/31/symantec/index.html
  • TrendMicro

パスワードは、定期的に更新すべきでしょうか。

もちろん、定期的に更新してください。こうして更新作業を習慣化し、サイバー犯罪者たちが簡単に破ることができないようにしておくべきです。

http://about-threats.trendmicro.com/RelatedThreats.aspx?language=jp&name=Will+Your+Passwords+Pass+the+Test%3F
  • Sophos

強固なパスワードポリシー (8 文字以上、定期的な変更) を取り入れる

http://www.sophos.com/ja-jp/press-office/press-releases/2013/05/ns-sbs-lose-money-to-cybercrooks.aspx
ISP

So-net をより安全にご利用いただくために、お客さまご自身による、定期的なパスワードの変更をお願いしております。

http://faq.so-net.ne.jp/app/answers/detail/a_id/887/~/id-%E3%82%84%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%80%81%E3%83%A1%E3%83%BC%E3%83%AB%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6%E7%9F%A5%E3%82%8A%E3%81%9F%E3%81%84

知らない間にパスワードを不正利用されないために、パスワードは定期的に変更しましょう。

http://support.nifty.com/support/information/pwd.htm

パスワードの定期的な変更は、そのような不正行為の危険性を回避する有効な手段です。

http://support.biglobe.ne.jp/news/news354.html

定期的にパスワードを変更する(変更するパスワードは適切な文字数のものとし、推測されにくいものを使用する)。

https://www.iij4u.or.jp/guide/care/
通信事業者編

定期的に変更を行う。また、変更の際は、過去に設定していたものは使用しない。

https://www.billing.ntt-east.co.jp/entrance

ユーザID・パスワードは、定期的に変更されることをおすすめします。変更後のユーザID・パスワードは、必ずお客さまご自身でお控えください。

http://www.ntt-west.co.jp/my/pc/kanyu/faq/idpw.html

より安心にdocomo IDを利用していただくため、定期的にパスワードを変更されることをお奨めします。

http://i.mydocomo.com/docomoid/utility/o-1_3c.html

みなさまに今後も安心してサービスをご利用いただくために、定期的なパスワード変更をお願いいたします。

http://support.ntt.com/supportTopInfo/detail/pid25000000n9

サポートパスワードは定期的な変更をお願いします。

http://cs.kddi.com/support/goriyou/help/use_support/keitai/moushikomi/support_idmenu.html

パスワードは定期的な変更が必要ですか?(中略)はい、管理者パスワードは定期的な変更が必要です。

http://faq.mb.softbank.jp/detail.aspx?id=74602&a=102
SIer

StarOffice Xシリーズなら、「IDとパスワード管理」がきちんと行われる様に、パスワード管理機能により個々の利用者をサポートします。(中略)定期的にパスワードを変更する。

http://jpn.nec.com/staroffice/kadai/security/P1.html

そこで安心しちゃダメ。パスワードは定期的に変更しようね。

http://www.fmworld.net/cs/azbyclub/qanavi/jsp/qacontents.jsp?rid=604&PID=7009-3549
セキュリティ事業者・団体編

同じパスワードの使いまわしは避け、定期的にパスワードを変更する

http://www.jnsa.org/ikusei/leakage/08_06.html
  • LAC(2012/04/26)

可能であれば定期的にパスワードの変更を行う

http://www.lac.co.jp/security/report/pdf/20120426_jsoc_a18t.pdf

定期的に変更することをお勧めします。

http://www.mbsd.jp/casebook/20130603.html

Webサーバ更新用パスワードを定期的に変更し、アカウント情報が流出した場合の被害を最小に抑える

http://www.nri-secure.co.jp/ncsirt/2010/0112.html
  • IBM TokyoSOC (2010/02/17)

パスワードや証明書などの認証情報を定期的に更新することで、漏洩した情報を用いた改ざん行為のリスクを低減することが可能です。

http://www-935.ibm.com/services/jp/iss/pdf/tokyo_soc_report2009_h2.pdf
  • トライコーダ(2011年の記事と思われる)

一般的に言われていることですが、パスワードは類推されにくいものを利用し、定期的に変更を行う。

http://www.scsk.jp/sp/sys/articles/01/03.html
  • バラクーダ(2013/08/05)

期限を設定して定期的にパスワードを変更する

http://www.barracuda.co.jp/column/entry20130805
政府関連組織編

一定の期間が経過したパスワードは、その変更をユーザに強制するとともに、過去に使用したパスワードの再使用は禁止すべきである。

http://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/101.html

他人に推測されにくいパスワードを設定し、定期的に変更しましょう。

http://www.jpcert.or.jp/magazine/security/illust/part1.html#sec03

パスワードを定期的に変更しなければならない理由には、以下のようなものがあります。

・他人に推測されにくいパスワードでも、ツールを使って長時間かければパスワードが割り出されてしまうこと

・仮にパスワードが割り出されてしまっても、なりすましなどの被害を受け続けることを避けることができること

http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html

アクセス管理者の講ずべき措置(中略)

定期的にパスワードの変更を促す仕組み等の構築。

http://www.npa.go.jp/cyber/statics/h23/pdf040.pdf

個々の職員がパスワードの定期的変更や不審メールへの対処といったセキュリティ上の基礎的な動作を怠ることにより、防衛省自衛隊のシステム及びネットワーク全体がサイバー攻撃に対してより脆弱になるリスクが存在する。

http://www.mod.go.jp/j/approach/others/security/cyber_security_sisin.html

9月4日に報じられた大阪市で起きた不正アクセス事件で、同市がパスワードの定期的変更を徹底すると話したことを受けてTwitter上では盛りあがっていましたが、ユーザーだけでなく事業者へもパスワード定期的変更に関する議論が広がるといいですね。