ユーザーにパスワード規則を押しつけるのは間違い 代替案はあるのか

長く複雑なパスワードを強制し、一定期間ごとに変更する企業がある。これは間違っているのだろうか。そうだとすればどうすればよいのだろうか。

[Sue Poremba，Cybersecurity Dive]

　パスワードが好きな人はいない。さらに言うなら、パスワードを覚えることが好きな人はいない。特に、60日や90日ごとにパスワードを変更するようユーザーに強制する規則がある場合はなおさらだ。

　パスワードについての業界標準は変化している。これまではユーザーに対してパスワードを頻繁に変更するように求めていた。8文字から12文字で、大文字と小文字のアルファベット、数字、記号を複雑に組み合わせたパスワードを求める規則もあった。このような規則には認証情報の盗難の影響を少なくしようという目的があり、企業は従業員にこのような規則を強制してきた。

ユーザーにパスワード規則を押しつけるのは間違い

　だが、このような強制は次第に時代遅れになってきたのだという。なぜパスワードが安全になるように守らせようとしないのか。なにか代替手段があるのだろうか。

　米国の国立標準技術研究所（NIST）は、デジタルアイデンティティーガイドラインを改善する中で、パスワードに関する推奨事項を変更しようとしている（注1）。

　NISTはユーザーが年に4回または6回パスワードを変更することを推奨してきたが、それをやめる（注2）。その代わりにこれまで使っていたパスワードが漏えいしたことが分かった場合にのみ、新しいパスワードに変更することを推奨している。

　NISTはパスワードは最低8文字必要だとしている。だが複雑な組み合わせを避けた15文字から64文字のパスフレーズを推奨している。

パスワードとパスフレーズの違いとは

　パスワードとパスフレーズはよく似た概念だが違いがある。

　パスワードは一般に8〜12文字程度の短い（意味のない）文字列で、数字や記号、アルファベットを組み合わせて使う。

　パスフレーズは複数の単語やフレーズを組み合わせた長い文字列で、通常は長さが20文字以上ある。意味のある単語を使用するため、パスワードよりも記憶しやすいという特徴がある。さらにパスワードよりも解読される恐れが少ないため、高いセキュリティが求められる場合に適している。（キーマンズネット編集部）

　NISTが推奨内容を変更した理由は、以前のような要件を強制するとかえってパスワードが脆弱（ぜいじゃく）になるという理論に基づいている。

　これはパスワード疲れに悩む人々にとって朗報のように思えるが、すでにサードパーティーのオプションやOSに組み込まれたツールなど、何らかのパスワード管理ツールを利用する人が増えている（注3）。

　認証情報を保護するために多要素認証や生体認証システムなどを導入している企業も増えており（注4）、中にはパスワードの入力を完全に省略できる場合もある。

なぜパスワード自体がなくならないのか

　ただし、これまでも認証技術の進歩があった場合でも、パスワードが完全に廃れることはなかった。

　アイデンティティー管理サービスを提供するOktaで技術戦略およびパートナーシップを担当するスティーブン・リー氏（バイスプレジデント）によると、パスワードは規制順守の一環として要求され続けているため、なくなることはないという。

　Oktaのカンファレンス「Oktane」において、リー氏は「その一因はレガシーな領域にある。多くのアプリケーションが依然としてパスワードを使用しているためだ」

　場合によってはパスワード以外の選択肢がないのだ。他の認証技術を使用する際に障壁がある業界や企業も存在する。例えば、多くの政府機関では職場にスマートフォンを持ち込むことを許可していないため、SMSやアプリを利用した認証ツールを使用できない。

アイデンティティーベースの攻撃を防ぐ

　Oktaの副CSO（最高戦略責任者）のシャーロット・ワイリー氏によると、パスワードはもはや、過去のものだと考えるべきだという。パスワードは扱いにくく、脆弱なパスワードであれば容易に推測されるためだ。

　そうなるとアイデンティティーベースの攻撃につながり、ユーザーのみならず、ユーザーが作成しているデータも危険にさらされる。

　ガバナンスの観点から、データとネットワークを保護するために重要なのは、適切な人が適切なタイミングで適切なアクセス権を持つようにすることだ。パスワードガイドラインをユーザーに強制するよりも、ライフサイクル管理に基づくアイデンティティーガバナンスツールを使用する方が効果的だ。

　ワイリー氏はOktaneで、「アイデンティティーとセキュリティは密接に関連しており、ゼロトラストの観点からアイデンティティーを保護することが重要だ」と述べた。

　アイデンティティーに関連する攻撃が増加しているため、アクセスを厳格に管理し、セキュリティをアイデンティティーソリューションに組み込むことが重要になってきた。

　「当社は顧客がそれらの技術を可能な限り早く導入し、アイデンティティーベースの攻撃に関するリスクを減らしてほしいと考えている」（ワイリー氏）

　アイデンティティーガバナンスと継続的なコンテキスト認証および認可をサポートする業界の動きがあり、ユーザーが適切なタイミングで適切なアプリケーションやデータにアクセスできる環境の構築が期待されている。

　セキュリティサービスを提供するZscalerのプニット・ミノチャ氏（エクゼクティブバイスプレジデント）によると、アイデンティティーガバナンスソリューションに注力し、従来の認証モデルから移行することで、ダウンタイムを防ぎ、不正アクセスによるセキュリティリスクを排除し、より良いコラボレーションを構築できるという。

　リー氏によると、継続的なコンテキスト認証および認可を通じて、セキュリティチームは疑わしいアクセスや認証情報の盗難の可能性をリアルタイムで検出できる。ゼロトラストアーキテクチャやシングルサインオン、アイデンティティーアクセス管理といったソリューションの導入により、パスワードの重要性は低下すると予想されている。

　アイデンティティーガバナンスに関するツールに焦点を移行することで、従業員のオンボーディングやオフボーディング時にも企業は恩恵を得られる。また、従業員が新しい役割に就いたり新しいプロジェクトに取り組んだりする際にも役立つ。IT部門がアクセス権を追加したり削除したりするには時間がかかるためだ。

出典：When password rules change, who benefits?（Cybersecurity Dive）
注1：NIST SP 800-63 Digital Identity Guidelines（NIST）
注2：ABSTRACT（NIST）
注3：2024 Password Manager Industry Report and Statistics（Security.org）
注4：2024 Multi-Factor Authentication (MFA) Statistics & Trends to Know（Jumpcloud）