コラムアーカイブ

NISCが推奨するパスワードに関する記事が公開されています。

https://www.zakzak.co.jp/article/20220625-BPACMKMGINLMFP254OVZKBU2AE/

この記事は、2022年6月23日に公表された尼崎市のUSBメモリ紛失騒動をベースにした内容で、内閣サイバーセキュリティセンター（NISC）が推奨する「強いパスワードの作り方」について紹介しています。

この紛失の件は、パスワードを強くすれば持ち出しても安全という話では無く、個人情報を取り扱う際のリテラシーやルールに問題があった話だと考えられていますが、この記事で紹介されたパスワードに関するNISCの推奨事項を「インターネットの安全・安心ハンドブック」（以下、NISCのハンドブック）の内容から整理します。

パスワードの推奨内容は「ログイン用パスワード」と「暗号キー（暗号化のためのパスワード）」で異なります。

① ログイン用パスワード
ウェブサービスの認証に利用する「ログイン用パスワード」は、英大文字（26種類）小文字（26種類）＋数字（10種類）＋記号（26種類）の計88種類の文字をランダムに使って、10桁以上を安全圏として推奨しています。（NISCのハンドブックP.34参照）

② 暗号キー
ZIPファイルやOfficeファイルの暗号化に使われるパスワード「暗号キー」は、英大文字（26種類）小文字（26種類）＋数字（10種類）＋記号（26種類）の計88種類の文字をランダムに使って、15桁以上を推奨しています。（NISCのハンドブックP.58参照）

さらに共通して、パスワードの使い回しの禁止や、よく使われる単語など推測できる文字列を使わないことも推奨しています。

「ログイン用パスワード」は10桁以上、「暗号キー」は15桁以上と、推奨桁数が「暗号キー」の方が多い理由は、総当たり攻撃によるパスワード解読の処理速度（時間あたりの試行回数）に違いがあるためです。パソコンの中で攻撃できる「暗号キー」の試行処理速度は、ネット経由で攻撃する「ログイン用パスワード」の試行処理速度よりも速いため、「暗号キー」は桁数が多い15桁を推奨しています。

もちろん、総当たり攻撃以外にもパスワードを破る攻撃手法があります。攻撃手法の多様化やコンピュータの処理能力の進化の中で、推奨事項の順守で100%被害を防げると断言できません。また、「利用のシステムではパスワードにNISCが推奨する記号26種類も使えないよ」や「海外の基準では8文字以上推奨って聞いたけど？」などさまざまなご意見もあると思います。

いまでは、パスワードだけで守るという考えは古くなっています。守る資産の重要度に合わせて、パスワードの長さと複雑さはもちろん必要ですが、失敗回数に応じて試行をロックアウトさせる機能や多要素認証など、多重の対策でユーザーやデータを守る考えが重要視されています。これは「ログイン用のIDパスワード」だけでなく、USBメモリも同様で、ハードウェアによる対策（ロックアウトや指紋認証機能）が採用されている製品が販売されています。

つまり、このコラムのタイトル「パスワードは何桁なら大丈夫？」に答えは、「対象の重要度に合わせて、パスワードは適度な複雑さと桁数で作成し（NISCの推奨桁数は上記の通り）、ロックアウト機能や多要素認証などを併用して、多重の対策で保護する」であればしっかり考えられているので大丈夫と言えるのではないでしょうか。

NISCのハンドブックver.4.20のP.34～37とP.56～69には、パスワードや暗号化や認証に関する解説を記載していますので併せてご確認ください。また、この機会にパスワードだけでなく、特に個人情報に関わる運用ルールや委託契約が、今回のような事象発生した場合でも責任問題にならないか組織・企業内で見直しされることをオススメします。