定期的に変えるのはかえって危険――。総務省がインターネット利用時のパスワードについて、従来の“常識”を覆すような注意喚起を始めた。「推測しやすい文字列になって不正アクセスのリスクが増す」というのが理由で、複雑なパスワードを使い続けるよう呼びかけている。方針転換に困惑する声も少なくない。

　「定期的にパスワードを変更しましょう」。３月１日、総務省の「国民のための情報セキュリティサイト」からこんな記述が消えた。2017年秋に「定期変更は不要」との文言を追加したことを受け、矛盾を解消したという。

　パスワードは第三者による「なりすまし」を防ぎ、ネット上の個人情報や財産を守る。ハッカーなどは他人のパスワードを把握しようと、文字の組み合わせを全て試す「総当たり攻撃」や、よく使われる語句を手当たり次第に試す「辞書攻撃」などを仕掛けてくる。

　パスワードの定期変更は不正を防ぐ有効な手段とされてきた。しかしサイバー攻撃が盛んになる中、米国などでは16年ごろから「定期変更を要求しない方がいい」という意見が高まってきた。日本でも同年12月、サイバー攻撃対策を担う内閣官房の内閣サイバーセキュリティセンター（ＮＩＳＣ）が「必要なし」とする見解を示し、これを受けて総務省もサイトを変更した。

　ＩＴ会社ソフトバンク・テクノロジー（東京）の辻伸弘氏によると、頻繁に変更を求められると、少ない字数で覚えやすい語句を使ったり、変更前と似た語句を使ったりするようになり、他人が類推しやすくなる。

　例えば「Yamada201803」といった名字と年月、誕生日などを組み合わせ、末尾の数字だけを毎月「01」「02」……と変更する方法だ。

　さらに多数の機器やサービスでの定期変更が面倒になり、同じパスワードを使い回してしまうことで、芋づる式に個人情報などを盗まれるリスクも高まる。

　政府の方針は省庁間でも十分に浸透していない。経済産業省が16年３月に改訂した情報セキュリティ管理基準には「パスワードは定期的に及び必要に応じて変更させるようにする」と明記。同省の担当者は「省庁ごとに基準が異なると混乱を招きかねないため、変更も含めて検討する」という。

　東京都内のある機械整備会社は、社員に数カ月ごとにパスワードを変更するよう求めている。担当者は「定期変更が不要とは知らなかった。これまでの呼びかけは何だったのか」とがくぜん。「早めにルールを見直した方がいいのだろうか……」と漏らす。

　安全なパスワードを設定するには、どのような点に気をつければいいか。ＮＩＳＣは「英語の大文字と小文字、数字、記号を組み合わせ、少なくとも10桁にするのが望ましい」としている。規則性のある文字列や単語は使わず、不規則で複雑なものが望ましい。また盗まれた端末からログインされるのを防ぐため、ネット閲覧ソフトに自動でパスワードを記憶させる機能も使わない方がよいという。

　変更のタイミングについては「パスワードが破られサービスが不正利用されたことが判明した時。その場合は速やかにパスワードを変更した上で、破られた原因についても特定してほしい」としている。