総務省の「国民のための情報セキュリティサイト」において、”定期的にパスワードを変更しましょう。”という文言が削除されたということが新聞等で話題になりました。

長い間、セキュリティ対策として、パスワードの漏洩を防ぐためには、”定期的な変更が有効”と考えられてきた状況から、方針転換したものです。
このこと自体は、実際にパスワードを設定する人間の行動パターンとして、定期的な変更を強要するとパスワードの難易度が下がって、かえって危険であるという現状認識からきたものです。
至極もっともだと思います。

これまで企業内で「Active Directory」の必要性を訴える際に、"パスワードを定期的に変更するには、Active Directoryによる強制が必要。だから Active Directory を導入しましょう"といった論理がよく使われていました。
ところが、この論理で行くと、パスワードの変更をしないのならActive Directoryは不要ということになりかねません。

もちろんそのようなことはありません。

まず、定期変更しない方がいいというのは、パスワードの難易度を上げるためでもあり、Active Directoryは簡単なパスワード設定を防ぐという意味で重要な役割を担います。

また、”定期変更は不要”というのは、”変えなくていい”という意味ではありません。
パスワードの漏洩が疑われた際は、速やかに変更する必要があります。

Active Directory の無い環境では、社内のファイルサーバにアクセスする際のパスワードは、通常自分では変更できません。
パスワードの管理という意味では、Active Directory の重要性はより高まったと考えるべきだと思います。

総括

今後は、クラウド化の進展にともなって、認証の問題はますます重要になってきます。
Active Directory も今後ますますクラウドとの連動性が高まっていきますので、是非その動向に注目し、活用していただければと考えています。

2018年4月18日記