総務省の「パスワードの変更について方針転換」が話題になっています。

（以下は総務省のページリンク）

設定と管理のあり方｜IDとパスワード｜どんな危険があるの？｜基礎知識｜国民のための情報セキュリティサイト

ニュースサイトなどを見ると、「定期的な変更は不要となった」という部分が非常にクローズアップされているような気もしますが、これは上記リンクのページの上部にある「安全なパスワードの設定」を満たすことが大前提のお話だと思います。

当たり前ではありますが、「123456」みたいな脆弱なパスワードを設定しておいて「定期的な変更は不要」はさすがに「無し」です。（インターネット上のシステムなら結構早い段階で突破されます）

ちなみに会社の業務においては「定期的な変更が必要」な有効な場合もあると思います。

例えば複数人が共通で一つのアカウントを使う場合とか・・・。（業務においてはよくある話）

この場合、共通アカウントを使っている担当者の一人が「別部署に異動した」とか、「退職した」という理由で担当業務を外れた場合、そういった過去の担当者の不正利用（内部不正による犯行）を防止するためにも、例えば月１回など強制的に変更を実施したほうが良い場合もあります。

（「異動や退職が発生する都度行えばよい」という考えもありますが、往々にして「現場」ではやらないことが多い気も・・・）

またシステムが「インターネット上にあるか？社内ネットワーク上にあるか？」「扱う情報が機密情報か？それほど重要でもない情報だけか？」といった「システムの特性」によっても、パスワード管理の考え方は変えてもよいと思います。

セキュリティではよく言われることですが「利用者の利便性」と「セキュリティの確保」のバランスを考慮しつつ、「システム管理者」「システム利用者」の双方にとって安全で使いやすい環境を構築していくべきと思う次第であります・・・。