「強制的なパスワード変更は考え直すときだ」。米国で消費者の保護を担う連邦取引委員会(FTC)のローリー・クレーナー最高技術責任者が2016年3月2日に公表したブログが国内外で反響を呼んでいる。情報セキュリティ対策として定期的なパスワード変更をユーザーに強制するのは、「かつて考えられてきたよりも有益ではなく、むしろ逆効果となる場合がある」という。実は国内でも既に同じ議論があり、2014年の政府機関の情報セキュリティ基準では「定期変更の徹底」という文言が消えた経緯がある。 「情報セキュリティは、時間の経過とともに新たに登場する脅威や新たな対策によって変わる」。こんな書き出しで始まるブログは、ユーザーにパスワードを頻繁に変更させることは、攻撃者にとって推測しやすいものにしてしまうとして、長年行われてきた情報セキュリティ対策の見直しを求めている。 ブログでは、パスワードの有効期限を定めた場合につい