ヤフーがパスワードの定期変更求める記載削除へ 総務省も安全なもの前提で呼びかけ

 ヤフーが、インターネット通販などで利用者が使うヤフーIDのパスワードについて、「定期的に変更いただくことをおすすめします」との注意喚起を近く削除する方針であることが23日、分かった。総務省もインターネット上のパスワードについて、安全なものを設定している前提なら「定期的な変更は不要」と呼びかけを始めており、大手IT企業の対応に追随する企業も現れそうだ。

 総務省は「国民のための情報セキュリティサイト」で昨年11月、パスワード流出やアカウントの乗っ取りなどがなければ「定期的な変更は不要」と記載を改めた。従来はパスワードの定期的な変更を求める内容だった。

 国内外の研究などで、定期的な変更によってパスワードの作り方がパターン化して簡単なものになることや、複数のサービスや機器で使い回しすることの方がリスクが高まるとの意見が数年前から増えていたことが理由だ。

 ヤフーもそうした状況などから対応を検討。「ヤフージャパンIDに関するヘルプ」のページで定期的なパスワード変更を呼びかけているが、その記載を近く削除する予定という。

 一方、内閣サイバーセキュリティセンター(NISC)による「ネットワークビギナーのための情報セキュリティハンドブック」は、平成28年12月版から「パスワードの定期変更は必要なし」と記載している。

 ただ、これらは設定しているパスワードが十分に長くて複雑なものであることが大前提だ。ハンドブックは、「少なくとも英大文字小文字+数字+記号の組み合わせで10桁以上」が望ましいとし、使い回しをしないことや、適切な保管も呼びかけている。