次世代認証方式とは

総務省からパスワードの定期的な変更は不要との見解が提示された。これにより、これまでパスワードを定期的に変更していた多くの国内企業は戸惑い、パスワード管理を含む認証方式の見直しを開始している。認証の要件は本人の識別が確実にできて、かつ他人がなりすますことができないことであり、パスワードだけが唯一の認証方式ではない。複数の認証の要素を組み合わせることで便利でかつ不正されにくい認証方式が登場してきたことで、今後、認証方式の主流になる可能性がある。

総務省によるパスワード変更に関する見解の変化

2018年3月に総務省からパスワードの定期的な変更は不要との見解が提示された。これは2017年6月にNIST（米国国立標準技術研究所）が発表した「電子認証に関するガイドライン」においてパスワードの変更は不正アクセスの可能性がない限り不要である（図1）、との見解を反映させたものである。これまでパスワードは定期的な変更が必要であるといわれ、多くの企業がそれを遵守してきた。定期的な変更が必要であるとされた理由は、万が一パスワードが漏洩しても長期間にわたり不正アクセスが継続できないようにできること、そして不正アクセスが検知しやすくなることだった。しかし、定期的に変更を行うことを義務化することで、覚えやすいパスワードが設定されることが多くなり、かえって漏洩のリスクが増大する現象を招いていることが問題視されていた。

総務省の見解の変更はこれまでのパスワード管理の常識を覆すことになり、多くの企業が戸惑い、パスワード管理をどのようにすべきかを含め、情報セキュリティポリシーの見直しを迫られている。

図1．NIST SP800-63Bの該当記述