コラム

第9回
総務省発表の「パスワード定期変更」に対する見解
自己紹介
村松 真

株式会社ソフトクリエイト 技術本部
ネットワークソリューション部 技師長 村松 真

■主な経歴
マイクロソフト社で現在のベースとなる技術を身につけた後、当社で 10年以上、技術本部の Microsoft 技術者の中心的人物として活躍し、特にVBScript技術を利用した Active Directory 関連の移行ソリューションは数多くの納入実績を誇り、お客様からの信頼も厚い。 2015年度からは技師長としてソフトクリエイトの技術部門を牽引している。

2018年4月18日

先月総務省の「国民のための情報セキュリティサイト」において、”定期的にパスワードを変更しましょう。”という文言が削除されたということが新聞等で話題になりました。

長い間、セキュリティ対策として、パスワードの漏洩を防ぐためには、”定期的な変更が有効”と考えられてきた状況から、方針転換したものです。
このこと自体は、実際にパスワードを設定する人間の行動パターンとして、定期的な変更を強要するとパスワードの難易度が下がって、かえって危険であるという現状認識からきたものです。
至極もっともだと思います。

これまで企業内で「Active Directory」の必要性を訴える際に、"パスワードを定期的に変更するには、Active Directoryによる強制が必要。だから Active Directory を導入しましょう"といった論理がよく使われていました。
ところが、この論理で行くと、パスワードの変更をしないのならActive Directoryは不要ということになりかねません。

もちろんそのようなことはありません。

まず、定期変更しない方がいいというのは、パスワードの難易度を上げるためでもあり、Active Directoryは簡単なパスワード設定を防ぐという意味で重要な役割を担います。

また、”定期変更は不要”というのは、”変えなくていい”という意味ではありません。
パスワードの漏洩が疑われた際は、速やかに変更する必要があります。

Active Directory の無い環境では、社内のファイルサーバにアクセスする際のパスワードは、通常自分では変更できません。
パスワードの管理という意味では、Active Directory の重要性はより高まったと考えるべきだと思います。

総括

今後は、クラウド化の進展にともなって、認証の問題はますます重要になってきます。
Active Directory も今後ますますクラウドとの連動性が高まっていきますので、是非その動向に注目し、活用していただければと考えています。

 
TOP