Q.今月のお悩み
園のメールアドレスやWebサイト、園児管理システム……、管理するパスワードが多すぎて、変更も一苦労。パスワードの定期変更はどのくらいの頻度で行うことが安全なの?
A.パスワードの定期変更は不要です
これまでの情報セキュリティ対策では、なりすまし被害などを防ぐために、パスワードの定期的な変更が推奨されていました。定期的に更新することによって、悪意ある第三者にパスワードが盗まれてしまっても、一定期間で使用できなくなるため、被害軽減策となると考えられていたのです。しかし、パスワードが盗まれていない状況で頻繁にパスワードを変更すると、パスワードがパターン化したり、メモに書き留めたりすることなどから、かえってセキュリティリスクとなることが指摘されるようになりました。
2018年3月には総務省「国民のための情報セキュリティサイト」、2019年4月にはマイクロソフトが「それぞれパスワードの定期変更は必要ない」との見解を提示しています。マイクロソフトは、パスワードの定期変更の代替手段として、「禁止パスワードリスト」の導入や「2段階認証」を推奨。ネット社会の発展に応じて情報セキュリティ対策も変わっているため、注意が必要です。
