INFORMATION司法書士のための業界コラム

2018.05.31

パスワード変更による安全性について

5月に入ってから、オンライン申請作業中にパスワード変更を求める画面が出てきたという記憶はございませんか?

平成28年5月30日から登記・供託オンライン申請システムの申請者情報パスワードに有効期限(1年間)が設けられました。そのため、毎年5月になるとそのようなメッセージが出る方が多くなります。

同様にこの時期、パスワード変更ついての問合せも多く寄せられます。その中には「新しいパスワードを入力してもエラーで登録できない」なんて問合せも多いです。申請者情報のパスワードは英字・数字に加え今までパスワードとして利用頻度の少なかった「記号」の混在が必須となったため、その入力し忘れが問合せ理由の一つです。

※記号=「/」スラッシュ、「-」ハイフン、「@」アットマーク など。

「登記情報提供サービス」のパスワードも有効期限(1年間)が設けられていますが、こちらは英字と数字の組み合わせのみでOK(記号の使用は任意)なので、混同されている方が多いのかもしれません。

では、パスワードに記号を加えることでどれくらいセキュリティーは高まるのか?

気になったので少し調べてみました。

内閣サイバーセキュリティーセンター(NISC https://www.nisc.go.jp/)によりますと、10桁のパスワードの場合、

数字だけのパスワードの場合=100億通り

数字+英字(大文字・小文字)の場合=約83京9299兆通り (「京」は「兆」の上の単位)

だそうです。

記号を加えると・・・

数字+英字(大文字・小文字)+記号(26種類として計算)の場合=約2785京97兆通り

例えば、10桁のパスワードに対して文字の組み合わせを全て試す「総当たり攻撃」というサイバー攻撃を受けたとして、この数は1秒に5回の「総当たり攻撃」を受けたとしても、全て試すのに1760億年かかるそうです。パスワードが有効に利用される100年以内に当てられる確率は非常に小さいといえるわけです。まあ、記号を加えない場合の約83京通りでも十分不可能な感じはしますけど・・・。

ただ、パスワードも複雑になるとセキュリティーが高まる反面、覚えられないというデメリットも出てきます。しかも1年に1回変更する必要があれば尚更ですね。

皆さんはどのようにしてパスワードを記憶・管理していますか??

1.物理的な紙のノートに書き留める

2.パソコンにテキストデータや管理ソフトで保存

3.スマホアプリで保存

4.クラウド上に保存

などなど・・・。

どの方法もメリット・デメリットがありますので一概に最良の方法は選べないと思いますが、同じく内閣サイバーセキュリティーセンターによりますと、「1」と「3」の方法を推奨しています。

紙のノートを推奨する理由は、あたりまえですがネットに接続できないからです。接続できなければネット経由のサイバー攻撃も不可能で、奪うには現実世界で「盗む」という行動を起こさなければならないからです。

スマホのパスワード管理アプリを導入する場合は、まずはネットにデータを置く「クラウド連携機能」を使用せず、スマホ内だけで管理する「スタンドアロン」状態での利用を推奨しています。

紙と比較した場合、スマホはネットに接続されているので、攻撃される危険性は否めませんが、万一、紛失や盗難に遭っても、スマホを事前にきちんと設定しておけば、遠隔操作でスマホをロックして操作できなくしたり、場合によっては消去して情報流出を避けたりすることもできるので、紙のノートを盗まれた場合よりも少し安心といえるかと思います。

ちなみに、オンライン申請の申請者情報のパスワードや、登記情報提供サービスのパスワードの他にも、インターネットバンキングのログインパスワードなど、パスワードを定期的に変更させるサービスって多いですよね。その理由の一つは、「知らないうちにパスワードが流出して不正アクセスされていたとしても、定期変更すればその時点で被害はなくなるから」でしょうか。

しかしここ最近、パスワードの長さが十分確保できる場合においては定期的に変更する方が危険という考えが主流になりつつあるようです。内閣サイバーセキュリティーセンターも同じ考えです。

定期的な変更を要求することで、パスワードの作り方がワンパターン化し簡単なものになることや使い回すことの方が問題で、それよりも、万一パスワードが破られ不正利用されたら速やかに変更してその原因も特定するのが良いとされています。

どちらにしても、問題が起こらないよう破られにくいパスワードを作成して、それを自分のルールで管理する仕組みを作っておく(その場しのぎでIDやパスワードを作成して忘れないようにする)ことが大切です。

もしかしたら、オンライン申請の申請者情報パスワードや登記情報提供サービスのパスワードを定期的に変更しなくても良いように条件が変わるかも?しれませんね。

資料請求・体験デモのご依頼はお気軽に!

カタログ請求
無料デモ/コンサル