NIST、新ガイドラインでパスワードの複雑さと強制的な変更を廃止

掲載情報の概要

• 掲載日: 2024年9月27日
• 掲載趣旨
  • パスワードの定期的な変更がかえってセキュリティリスクを高める可能性があるため、パスワードの複雑さと強制的な変更を廃止した
• 分類
  • #IT
• 参照元
  • NIST Scraps Passwords Complexity and Mandatory Changes - Infosecurity Magazine

情報のポイント

• 米国国立標準技術研究所 (NIST) が発行した新しいガイドラインによると、パスワードに複数の文字タイプを混在させたり、パスワードを定期的に変更したりすることは、公式にはもはや最良のパスワード管理方法ではなくなりました。
• 主要なセキュリティ標準化団体である NIST は、パスワード ガイドラインの最新版で、認証サービス プロバイダー (CSP) に対し、認証システムが侵害されていない限り、複数の文字タイプを使用したパスワードの推奨をやめ、定期的なパスワード変更を義務付けないように提案しました。
• さらに、NIST はCSP に対して、パスワードを選択する際に知識ベース認証 (KBA) やセキュリティの質問を使用しないことを要求しました。
• これらの決定は、米国連邦取引委員会やマイクロソフトなどの公的機関や民間組織が長年推奨してきた原則を正式なものにするものです。

参考になる資料

NISTにおいて示されていた方針

• NIST Special Publication 800-63B【NIST】
  • 2017年に、パスワードの変更は、パスワードが漏洩した場合やセキュリティ侵害が疑われる場合にのみ必要とされています。
  • この方針は、頻繁なパスワード変更がユーザーにとって負担となり、結果としてセキュリティが低下する可能性があるためです。NISTの新しいガイドラインでは、パスワードの長さや複雑さよりも、パスワードの強度と管理方法に重点を置いています。

国内の公的機関から示されていた方針

• 「インターネットの安全・安心ハンドブック」【NISC】
  • このハンドブックでは、パスワードの定期変更は必要なく、流出時に速やかに変更することが推奨されています。
• 「国民のためのサイバーセキュリティサイト」 【総務省】
  • 2024年5月にリニューアルされたサイトでは、「パスワードの定期的な変更は不要」と明記されています。

極意ポータル内リンク

• 中小企業サイバーセキュリティ関連ニュースクリップ
• ガイドブック『中小企業向けサイバーセキュリティ対策の極意』