MSも「パスワード定期変更は不要」表明―Win 10の次期セキュリティ基準で
とくに大きな変更となるのは、組織などによっては今でも使われているパスワードの有効期限ポリシーを廃止した点でしょう。これはマイクロソフトがWindowsにおいて、パスワードに有効期限を定め、定期的に更新させるポリシーはもはや時代遅れと考えていることを意味します。
PCなどのセキュリティ設定は、当然ながら使用する環境によって異なります。たとえば電子商取引を行っている会社なら当然オンラインセキュリティを重視する必要がありますし、病院であれば患者の個人情報保護が最優先となるといった具合です。
しかし、各企業・組織が一からポリシーを作成するのは、大きな労力がかかります。そこで、Microsoftがパートナーや顧客、専門家などの意見に基づき、セキュリティ設定の基準として定めているのがこのセキュリティベースラインというわけです。
そもそも、有効期限付きパスワードは、パスワードが盗まれた際の不正利用を防御し、また被害を軽減するための仕組み。定期更新することで、たとえユーザーが知らずにパスワードを盗まれても、一定期間で使えなくなるために、ある程度の防御策となる、という考え方です。
しかし一方で、パスワードが盗まれていない状況で頻繁なパスワード変更をすると、パスワードがパターン化し推測されやすくなったり、パスワードをメモに書き留めたりすることなどから、かえってセキュリティリスクとなることが指摘されています。
総務省も国民のための情報セキュリティサイトにおいて、パスワードの定期変更は必要ないとの見解を示しています。
こうした流れを受け、Microsoftは今回のセキュリティベースライン更新で、パスワードの有効期限ポリシーを「古くて時代遅れのもの」だとして削除したわけです。同時に、ベースラインにこそ盛り込まれていないものの、多要素認証をはじめとした追加の保護措置を強く推奨するとのことです。
なお、MS側で推奨しない扱いになったとはいえ、バージョン1903からパスワードの定期変更機能がなくなったわけではありません。引き続き有効期限を設け、パスワードの定期変更運用を続けることもできます。セキュリティベースラインはあくまでも一つの基準となるもので、その先は企業や組織のポリシー次第であるためです。
ただし、マイクロソフトも実質的に「パスワードの定期的変更は必要ない」と表明した点は、PCなどにおけるセキュリティの基準に影響することは間違いありません。セキュリティ担当者などにとっては相応に影響の出てくる話となりそうです。
