1cfbf8090899600e7445a9c7684c2bd2_s

普段、仕事をしていて煩わしいと感じるのがパソコンのパスワードの定期更新ではないでしょうか。おそらく、一般企業でパスワードの定期更新を無効にしているところはまずないのではないかと思います。


他にも、パスワードを数回間違えると、アカウントロックされて、解除に運用管理者に連絡してロック解除してもらったりと、運用の負荷もかかっていたり。


そして、以前、このパスワードの定期更新がかえってリスクになるのではということがネットニュースで紹介されていました。というのも、多くの人が定期更新が面倒なのでなるべく分かりやすい、もしくはパスワードの数字だけかえて変更するという方法をとったりしているケースが多く、あまり意味がなかったりします。


そこで、Microsoft Windows10の大型アップデート1903からパスワードの有効期限ポリシーを廃止するそうです。これは衝撃的なニュースですね。


MSも「パスワード定期変更は不要」表明―Win 10の次期セキュリティ基準で


記事によると、MicrosoftはWindows 10の次期大型更新となるMay 2019 Update(通称1903、または19H1)、およびWindows Server バージョン1903におけるセキュリティベースラインのドラフトを公開したそうで、大きな変更となるのは、組織などによっては今でも使われているパスワードの有効期限ポリシーを廃止した点があげられています。これはマイクロソフトがWindowsにおいて、パスワードに有効期限を定め、定期的に更新させるポリシーはもはや時代遅れと考えていることを意味しているとのこと。

Windowsのセキュリティベースラインとは、Microsoftがパートナーや顧客、専門家などの意見に基づき、セキュリティ設定として定めた基準です。

PCなどのセキュリティ設定は、当然ながら使用する環境によって異なります。たとえば電子商取引を行っている会社なら当然オンラインセキュリティを重視する必要がありますし、病院であれば患者の個人情報保護が最優先となるといった具合です。

パスワードが盗まれていない状況で頻繁なパスワード変更をすると、パスワードがパターン化し推測されやすくなったり、パスワードをメモに書き留めたりすることなどから、かえってセキュリティリスクとなることが指摘されていることがこの変更の要因のようです。


そして、多要素認証をはじめとした追加の保護措置を強く推奨するとのことなので、カード認証、整体認証などの多要素認証を導入するなども一つかもしれませんね。