パソコンの使用やネットショッピングなど、必ず必要となるのがパスワードです。
このパスワードは、誰にも知られないように、パスワードの使い回しはしないように、定期的に変更するように、というのが常識でした。
ところが、2017年11月、総務省がログインなどで使うパスワードの方針を転換し、「定期的に変更すべき」という文言を「定期的な変更は不要」に変えました。
ところが、この方針転換が国民に広く伝わっていないことから、広報に乗り出したようです。
2018年3月28日のNHKの夕方の番組 「首都圏ネットワーク」でこのことを特集して放映していました。全く知らなかったので驚きました。
まあ、管理人が知らなかったのは仕方がないとしても、ユーザーにパスワードの入力を求めるようなネット商売をしている人たちが知らないのでは困ったものです。
ところが、これで面白いことがわかるようになったのです。セキュリティに疎い会社がすぐに分かるようになったのです。まさに、現代の『踏み絵』です。
『頻繁にパスワードの変更を求めるような会社は、今回の方針転換も知らないような、セキュリティについての情報に疎い会社だ』ということが、白日の下に晒されることになりました。
その会社のシステム・セキュリティ管理者は、全然勉強をしていないと言うことです。
政府の方針転換を無視したネット運営をしているのはどこの会社?
今回の総務省の方針転換は、とても重要な意味を持っています。
セキュリティ面で、「やったほうがよい」から「やってはいけない」に変わったのですから、当然です。
総務省HPには以下のように書かれています。
「パスワードを複数のサービスで使い回さない(定期的な変更は不要)
利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。」
この唐突な政府の方針変更は、案の定、米国の横並びに過ぎません。総務省HPでは、以下のように説明しています。
「これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです(総務省HP)」
この他人事のような素敵な文章が、いつ修正されるか楽しみです。何がおかしいかさえ分からないのでは修正もできないでしょうが。文章も書けないのかよ、総務省の役人は。
変更の趣旨は、「総務省ホームページ 国民のための情報セキュリティサイト」をご覧ください。
ところで、上のサイトの場所は、総務省のホームページのどこにあるのか?
「国民のための・・」というサイトの名前にもかかわらず、置かれているのは、ここです↓
ホーム>企業・組織の対策>社員・職員全般の情報セキュリティ対策>安全なパスワード管理
一般国民は決して見ないホームページの奥深い場所に、こっそりと置かれているようです。しかも、国民向けではなく、組織・企業向け。
パスワード管理:じゃあ、どうすれば良いのか?
「パスワードを複数のサービスで使い回さない」と簡単に言うけれど、じゃあ、どうすればいいの? パスワードが必要なサービスは100を超えて使っているけれど。
番組の中で、安全なパスワードの作り方をやっていたのでご紹介します。
考え方として、十分な長さのある推測できないようなコアとなる文字列(コア)を作り、それに短い文字列を加えることで、多くのパスワードを作り出す方法です。
手順としては、適当な文字列を考え、その一部を大文字に変更、一部に数字を入れる。これがコアパスワードのコアとなる部分。このコアの最初か最後に3文字程度の短い文字列を入れれば、強いパスワードの完成です。
番組でやっていた通りに説明すると、最初の文字列は「どーもくん でかい」。
- 適当な文字列を考える: domokundekai
- 一部を大文字にする: domoKUNdekai
- 数字を入れる: domoKUNdekai51
- 短い文字列を追加する: nhkdomoKUNdekai51
最後にコアパスワードに追加する文字列を変えれば、簡単に別のパスワードを作ることができます。
ちなみに、51は一郎の背番号だそうです。生年月日など個人情報を含まない文字列、数字で自分だけが連想できるものを組み合わせて作ると良いようです。
