総務省はガイドラインからパスワード定期変更を削除したがシングルサインオンはどうする?

総務省が作る、地方公共団体向けの情報セキュリティポリシーに関するガイドラインは、住民の情報を守ることが本来業務である地方公共団体に求められる情報セキュリティ対策基準を示しており、民間企業も自社のセキュリティポリシー策定の参考に出来るガイドラインです。

このガイドラインをそのまま情報セキュリティポリシーとして利用している地方自治体は多いです。

スポンサーリンク
スポンサーリンク

地方公共団体のこれまでのパスワードの取り扱い

これまでの地方公共団体向けの情報セキュリティポリシーに関するガイドラインは平成27年度版が最新であり、その中で、パスワードの定期変更については、次のように記述されていました。

地方公共団体における情報セキュリティポシーに関するガイドラン (平成 27年版 )のパスワード管理の部分。

「パスワードは定期的に又はアクセス回数に基づいて変更し、古いパスワードを再利用してはならない。」

この記述を多くの地方自治体はそのまま情報セキュリティポリシーとして用いて、広く公表していたはずです。

地方自治体が公開している情報システムの調達仕様書を見ても、「情報セキュリティポリシーを遵守すること」という文言が明記されています。

つまり、これまで全国の地方自治体が調達した膨大な数の情報システムは、どのような情報を扱うシステムであっても、全て、パスワードを定期的に、又はアクセス回数に基づいて、強制的に変更する事を求め、かつ古いパスワードを全て記憶しておき、二度と同じパスワードを設定出来ない仕組みや運用が用意されていたということです。

私が調べたところ、地方自治体では、概ね6ヶ月に一度はパスワードを定期的に変更させる仕組みや運用を採用しているようです。

6ヶ月に一度は定期的にパスワードを変更させられ、二度と同じパスワードは使えない。

さらにガイドラインでは、「パスワードは十分な長さとし、文字列は想像しにくいものにしなければならない。」ということもあわせて定められているので、多くの地方自治体の職員はパスワードの定期的な変更のために、常に新しい想像しにくい文字列のパスワードを考えて、それを忘れない事を求められていたのです。

ついに最新版の地方自治体向けガイドラインの内容が明らかに

地方自治体向けガイドラインは27年度版が最新のままでした。

これだけめまぐるしくICTの利活用が進み、新しいソリューションが日々生み出されているなか、ガイドラインが旧態依然のまま何年も改定されなかったのは、年金機構がやらかして、マイナンバー制度の導入にブレーキが掛かり、マイナンバーを取扱う地方自治体の情報セキュリティ対策の基盤を固めることを国策として注力していたからでしょう。

そして全国的に、地方自治体に求める情報セキュリティ対策の基盤が整ったと判断したタイミングで、数年ぶりに今年の夏に、30年度版のガイドライン案が公表されました。

総務省|「地方公共団体における情報セキュリティポリシーに関するガイドライン(案)」等に対する意見募集
総務省では、平成13年3月に「地方公共団体における情報セキュリティポリシーに関するガイドライン」を策定(平成15年3月一部改定、平成18年9月全部改定、平成22年11月9日一部改定、平成27年3月27日一部改定)し、平成15年12月に「地方公共団体における情報セキュリティ監査に関するガイドライン」を策定(平成19年7月...

30年度版ガイドラインでパスワードはどうなったのか

早速、総務省が公表した、地方公共団体における情報セキュリティポシーに関するガイドラン (平成 30 年 X月版 )のパスワード管理の部分を確認してみました。

地方公共団体における情報セキュリティポシーに関するガイドラン (平成 30 年 X月版 )のパスワード管理の部分。

ご覧のとおり、パスワードの定期的な変更を求める記述は完全に削除されています。

まるで何も無かったかのようにです。

総務省はこれまで明確に単純にパスワードの定期変更を地方自治体に求めており、それを受けて地方自治体では全てのシステムでパスワードの定期的な変更を行ってきたはずです。

そのような背景があることを、もちろん総務省は知っているので、パスワードの取り扱いについて段階的に言い方を変えていくのだろうと思っていました。

「システムによってはパスワードの定期変更は不要」だとか、「必要なシステムに限りパスワードの定期変更をせよ」などの記述になるのではないか、あるいは「パスワードの定期変更は危険な場合もある」などを含む記述になると予想していました。

しかし、いきなりばっさりと、これまでもパスワードの定期変更なんて求めていなかったかのように、シレっと文言を削除したあたり、さすが総務省なのでしょう。

このガイドラインを見た地方自治体の情報セキュリティ担当者は、今年度の情報セキュリティポリシーの改定に向けて頭を悩ませることになりそうです。

何も定めないならどうでも良いということ

ガイドラインに何も記述しないという総務省の姿勢から見えるのは、「パスワードを定期的に変更しろ」でもなく「パスワードを定期的に変更してはならない」でもなく、パスワードの定期的な変更は、やってもやらなくても、どちらでもかまわない、という考えです。

なので、地方自治体では、これまで通りパスワードの定期変更を求めても間違いではないし、どんなに重要なシステムでもパスワードの定期変更を行わなくても良くなったと言えるでしょう。

総務省はガイドラインの補足内容のなかでも、パスワードの定期変更を求めることを削除したことについて、一切ふれていません。

変更する、変更しない、どちらがベストなのかも言及していません。

「なかったことにする」のが一番良い事だという判断は理解出来ますが、これまで要求してきたことを跡形もなく抹消されて困るのは、我々情報セキュリティ担当者です。

せめて、これまでの経緯と今回から削除した理由、今後の取り扱いについて、ユーザーに説明しやすいドキュメントが欲しかったですね。

パスワードに関する他の問題は未解決のまま

今回のガイドライン改訂でパスワードの取り扱いについて、もう一つ私が注目していたのは、「複数の情報システムを扱う職員等は、同一のパスワードをシステム間で用いてはならない」という部分と「パソコン等の端末にパスワードを記憶させてはならない。」という部分です。

最近ではシングルサインオンで認証情報を共有させることが珍しくなく、その場合、同一のパスワードをシステム間で用いていますし、パスワードを記憶させています。

シングルサインオン(英語:Single Sign-On、略称:SSO)は、一度のユーザ認証処理によって独立した複数のソフトウェアシステム上のリソースが利用可能になる特性である。この特性によって、ユーザはシステムごとにユーザIDとパスワードの組を入力する必要がなくなる。

ユーザが、あるコンピュータにログインした後、グループウェア等のアプリケーションを利用する場合、再度ログインし、他のサーバ上のアプリケーションを使用する際にはまたログインするといった状況では、複数のIDとパスワードを管理しなければならない。 シングルサインオンを導入すれば、ユーザはひと組のIDとパスワードを覚えればすべての機能を使用することができる。

出典:ウィキペディア

内閣官房内閣サイバーセキュリティセンターが先に公表している府省庁対策基準策定のためのガイドライン(平成28 年度版)では、「異なる情報システムにおいて、識別コード及び主体認証情報についての共通の組合せを用いない。(シングルサインオンの場合を除く。)という記述がありました。

「政府機関等の情報セキュリティ対策のための統一基準群(平成28年度版)」について

よって、今回の地方公共団体における情報セキュリティポシーに関するガイドラン (平成 30 年 X月版 )では同じように記述されてシングルサインオンの場合の齟齬を解消すると思っていました。

内閣官房内閣サイバーセキュリティセンターが先に公表している、府省庁対策基準策定のためのガイドライン(平成28 年度版)

しかし、この部分については地方公共団体における情報セキュリティポシーに関するガイドラン (平成 30 年 X月版 )でもこれまで通り変更がなく、地方公共団体における情報セキュリティポシーに関するガイドラン (平成 30 年 X月版 )を、そのまま情報セキュリティポリシーに書き写す地方自治体は、シングルサインオンを利用することは情報セキュリティポリシーに反することになります。

パスワードの定期変更は不要になっても、ひとつのクライアント端末内で複数のシステムを扱う場合、常にパスワードを入力する負担、全ての情報システムごとに覚えにくいパスワードを設定する負担から職員は逃れられないことになります。

6ヶ月に一度だけパスワードを変更する手間よりも、毎日毎日何度も何度も複数システムへ異なるパスワード入力を求められる方がよほど苦痛であり、作業効率低下、住民サービスの低下に直結していると思うのは私だけではないでしょう。

シングルサインオンは一つのIDパスワードが漏えいすると複数のシステムにログインされてしまうリスクがあるので、地方自治体では住民の個人情報を死守するために、シングルサインオンなんて使わないのかもしれません。

ならば、地方公共団体における情報セキュリティポシーに関するガイドラン (平成 30 年 X月版 )では、シングルサインオンの是非について言及するべきではないかと思います。

このままでは地方自治体は業務効率を向上させるシングルサインオンは使えません。

地方公共団体における情報セキュリティポシーに関するガイドラン (平成 30 年 X月版 )をそのまま使おうとする多くの自治体で、本当にシングルサインオンを使っていないならそれでも良いでしょう。

しかし多岐に渡る業務をこなす地方自治体の職員が使うシステムでシングルサインオンを一切使っていないというのは非現実的であり、考えにくいです。

どこの地方自治体でも住民に対して、住民情報をどのように取扱うかを、情報セキュリティポリシーで公表しています。

私が危惧するのは、地方自治体の情報セキュリティポリシーが形骸化しているのではないか?嫌でも情報を預けるしかない住民の情報が、情報セキュリティポリシーに反して扱われているのではないか?ということです。

情報セキュリティポリシーに反して扱われているからリスクがあるとは言えないかもしれません。

怖いのは、自らが制定し公表しているドキュメントに対して平然と反していることを、地方自治体の職員が気づいていないのではないか、ということです。

外部から眺めている私ではなく、本来なら、地方自治体の情報セキュリティ担当者さんがこのような問題提起をおこない、他の地方自治体と活発な意見交換をして、総務省に現状起こりえる齟齬を伝えていくことが必要だと思います。

パスワードの定期変更については、総務省は地方自治体向け情報セキュリティポリシーガイドラインで「どちらでも良い」という結論を出しましたが、シングルサインオンの利用の是非については未解決、あるいは地方自治体では事実上シングルサインオンを利用出来ないままです。

パスワードの定期変更の是非については曖昧にしましたが、シングルサインオンについても曖昧にするなら、「複数の情報システムを扱う職員等は、同一のパスワードをシステム間で用いてはならない」という部分と「パソコン等の端末にパスワードを記憶させてはならない」という部分も、ガイドラインからシレっと消し去り「なかったこと」にしなくてはなりません。

arisa

1万台以上の事務用端末がある組織の情報管理部門で情報セキュリティマネジメントを担当しています。新人の情報セキュリティ担当者に向けた組織の情報セキュリティ対策のヒントや、個人でパソコンやスマホを使う場合の情報セキュリティ対策を、私の実体験を交えながら解説しています。

arisaをフォローする
情報セキュリティマネジメント
arisaをフォローする
情報セキュリティ対策の真実

コメント