情シスの皆さんは、パスワードの定期変更が「もう古い管理手法だ」ということを、とっくにご存じですよね。
利用ユーザーだけでなく、情シスの負担を増やしているのにも関わらず、推測しやすいパターン変更を誘発して、セキュリティはかえって弱くなってしまっている。
分かっている。でも、やめられない。
「今まで大丈夫だったんだ。やり方を変えて問題が起きたらどう責任をとるんだ」という上司の一言。
「定期的に変更しないと、コンプライアンス違反になるのでは?」という監査の圧力。
定期的なパスワード変更ありきの古いシステム。
そして情シスには「ログインできない」「アカウントがロックした」という連絡が来る。
本記事では、社内を説得するためのポイントと、セキュリティを保ちながら管理を効率化する方法を整理していきます。
①国際基準を根拠に、パスワード定期変更の即時廃止を提案しよう
②SSOとMFAの全社展開で、セキュリティ強化とヘルプデスクのコスト削減を両立
③パスワード監視ツールで、漏えいと使い回しをシステムで自動検知・強制リセット
パスワード管理は、本来セキュリティを守るための仕組みです。
しかし現実には、情シスとユーザーの両方を縛る「足かせ」になっています。
ある朝、経理部のデスクに行ったときのこと。付箋に書かれた「Password2512」というメモが目に飛び込んできました。
「今日1日だから、パスワード変えるね!」と周囲に声をかける経理担当者。
私は思わず尋ねました。
「もしかして、来月のパスワードはPassword2601だったりしますか?」
経理担当者は笑顔で答えました。
「はい!分かりやすくないと、みんな混乱しちゃうので!」
情シスの私にできたのは、黙って頷くことだけでした。
これが、パスワードの定期変更を形式的に続けてきた結果の悲しい現実です。
ユーザーに悪気はありません。彼らは彼らなりに「混乱しない工夫」をしているだけです。
しかし、セキュリティは完全に崩壊しています。
そして情シスは、この無意味なルールを守らせるために、延々とヘルプデスク対応に追われ続けているのです。
情シスのみなさんなら、パスワードのリセット、アカウントロックの解除は誰しも対応したことがあるのではないでしょうか。
多くは「CapsLockキーがオンになっていた」「定期パスワード変更があったのに、古いパスワードを入れ続けた」「パスワード変更のメッセージが出ているだけなのに、全く見ていない」といった単純な原因です。
総当たり攻撃対策として設定したアカウントロック機能。それが単なる入力ミスで発動し、業務担当者の作業を止める。そして情シスの手動対応を生み出す。なんとも皮肉な話です。
本来、ガバナンスを保つための業務が、逆に情シスの非効率と不安の材料となっています。
入退社や異動のたびに発生するアカウント管理。
多くのシステムはSSOで自動化できていても、一部のシステムでは手動管理が残っています。抜け漏れがないよう、チェックリストを作成している情シスも多いのではないでしょうか。
そして、パスワード漏えいが発覚したときの緊急対応。使いまわしの有無をヒアリングし、関連するすべてのアカウントを緊急リセットする。情報漏えいのリスクに加え、業務の停止、そして情シスには膨大なタスクが発生します。
さらに、形式的な監査対応。セキュリティ効果はないとわかっていても、定期変更の証跡確認に時間とリソースを割く日々。
この業務、本当に意味があるのでしょうか。
パスワードの定期変更をなくすには、定期変更しなくても「安全」であることを示さなければなりません。
総務省の「国民のためのサイバーセキュリティサイト」では、パスワードの定期的な変更は基本的に不要であると明記されており、その代わりに「パスワードを使いまわしをしないこと」を強く推奨しています。
(出典:総務省「安全なパスワードの設定・管理」https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/security/business/staff/06/)
国内だけでなく、NIST(米国国立標準技術研究所)が発行している国際的なガイドラインでも同様の要件が技術基準として言及されています。
・定期変更の禁止:パスワードの定期的な変更をユーザーに強制してはならない。
・最小文字長の設定:単要素認証の場合は最低15文字、多要素認証の場合は最低8文字を要求しなければならない
(出典:NIST SP800-63B 3.1.1.2Password Verifiers https://pages.nist.gov/800-63-4/sp800-63b.html)
パスワードの定期変更によってセキュリティを守る時代は、世界的にもう終わっています。
定期変更は「やめるべき」ではなく、「やめなくてはならない」という認識を組織に浸透させることが重要です。
定期変更を廃止するだけでは十分とは言えません。セキュリティを維持・向上させるためには、別の防御策をセットで導入することが必須です。
重要なのは、業務担当者と情シスの負担を軽減し、意図しない脆弱性を発生させない方法です。
これらを満たす方法として、MFA(多要素認証)とSSO(シングルサインオン)があります。
MFAを導入すれば、パスワードが漏れたとしても、別のセキュリティの壁が立ちふさがり、不正アクセスを防ぎます。
SSOでパスワードを一元管理すれば、ユーザーの負担が減り、安易なパスワードの使いまわしを強力に防止できます。
情シスの負荷を劇的に下げながら、セキュリティを強化する3つの方法をご紹介します。
SSO(シングルサインオン)の効果は絶大です。
まず、ユーザーが覚えるパスワードが1つだけになるため、使いまわしや単純すぎるパスワードを根本から防げます。
情シスは、管理対象アカウントが減ることで、パスワードリセットやアカウントロック解除といった業務から解放されます。
さらに、入退社や異動のたびに発生するアカウント情報の変更も、IdP(IDプロバイダー)で複数のSaaSアカウントと一括連携できます。煩雑なヘルプデスク業務は圧倒的に少なくなります。
MFA(多要素認証)は、費用対効果が最も高い防御策です。
万が一パスワードが漏えいしても、スマホやセキュリティキーによる第二の壁が不正アクセスを防ぎます。定期変更の廃止による穴をMFAが完全にカバーするのです。
監査に対しても、MFAは強力な説得材料です。
「簡単なパスワードを定期的に変更するよりも、複数の守りがある方がより安全です。総務省の『国民のためのサイバーセキュリティサイト』や、国際的基準となっているNISTでも、多要素認証が推奨されています。」と説得すれば、監査も納得してくれるでしょう。
全てのSaaSがSSOに対応しているわけではありません。その場合は「1Password」や「Bitwarden」などの企業向けパスワードマネージャーで管理をする方法があります。
パスワードマネージャーによる管理で、パスワード忘れや再発行依頼はほぼ発生しません。また、登録ツールを情シスで一元把握できるため、シャドーIT対策にも有効です。
さらに、多くのパスワードマネージャーには漏えいチェック機能が搭載されています。パスワード流出時には、該当アカウントを自動検知し、強制リセットを促すことが可能です。これにより、使いまわしパスワード問題からも完全に解放されます。
情シスの本質的な役割は「情報資産を安全に運用できる認証システム全体を設計・構築すること」です。
かつては、「1アカウント=1パスワード×ツール数」という数多くの入り口を守る必要がありました。しかしSSOの浸透で入り口は劇的に少なくなり、MFAにより強固な防御の盾を複数持つことができるようになりました。
そして、その先には「パスワードレス時代」が待っています。
パスキーの普及が進めば、パスワード管理業務そのものがゼロになるかもしれません。
生体認証やデバイス認証だけでログインできる時代が、すぐそこまで来ています。この「新たなセキュリティの時代」を迎えるため、クラウドIdP・MFAへの移行準備を進めることが重要です。
情シスが、組織に提案すべき3つの行動をまとめましょう。
①古い習慣の廃止
国際基準を根拠に、パスワード定期変更の廃止
②基盤の戦略的強化
SSO・MFAの全社展開を「セキュリティ強化」+「ヘルプデスクのコスト削減」として経営層に提案
③脆弱性対応
パスワード監視ツールで、漏えいと使いまわしを即座に検知・自動リセット
パスワードを「人が管理する」時代は終わりました。これからはシステムが守り、自動化が負荷を減らす安全で効率的な時代を実現しましょう。
(TEXT:おちあいなおこ、編集:藤冨)
月曜日の朝にお送りする「情シス『目』ニュース」では、日々発信されるさまざまなトピックスを情シス・エンジニアの方々向けに「再解釈」した情報を掲載中。AI、働き方、経済など幅広いニュースをピックアップし、業務に役立つほか、つい同僚に話したくなる面白い話題まで身近で自分事化しやすくお届けします。
本特集はこちら
30秒で理解!フォローして『1日1記事』インプットしよう!
