パスワードポリシーが必要な理由
会員登録が必要となるWebサービスにおいては、ログインの際、ユーザー本人であることを認証する手段として、ログインIDとログインパスワードを要求することが一般的です。ログインパスワードについては、4〜6桁の数字のみで設定できる場合もあれば、大小英数字と記号を組み合わせなければならないものまで、その粒度はWebサービスごとに大きく異なっています。
あまりに単純なログインID・パスワードの設定や、ログインID・パスワードの使い回しは、セキュリティの観点からはリスクを伴うことになりますので、企業としては、ユーザーにログインID・パスワードの設定を求める場面においても、一定程度の複雑さを求める必要性があるといえます。
特に、Webサービスの提供事業者として、昨今、サイバー攻撃への対策は必要不可欠となっています。サイバー攻撃の手段や種類は日々複雑化していますが、マルウェアを利用した攻撃のほか、ログインパスワードを対象として、文字の組み合わせをすべて試す「総当たり攻撃(ブルートフォース攻撃)」や、パスワードによく使われる文字列を利用する「辞書攻撃」なども存在します。
このような攻撃に対しては、ログインパスワードの設定要件によってリスクを低減することも可能であり、事業者としても、自社のWebサービスにおいて、ユーザーに対してどのようなパスワードポリシーを規定するかは、重要な問題です。
推奨されるログインパスワードの構成
米国の「NIST SP 800-63-4」
Webサービスの提供事業者として、ユーザーにどのようなログインパスワードの設定を求めるかについては、日本の法令上は特段定められていません。
もっとも、パスワードポリシーについて参考となる資料として、「NIST SP 800 シリーズ」があります。これは、米国の政府機関におけるセキュリティ対策のために作成された文書ですが、日本の民間企業としても参照すべき有益な内容がまとめられています。このうち、「NIST SP 800-63B」において、情報システムのユーザー認証に関する技術要件などが解説されています。
執筆時点でドラフトが公開されている第4版「NIST SP 800-63-4」1
パスワードの長さ
8文字以上(ユーザー自身が作成するパスワードの場合)
パスワードの長さ
少なくとも64文字(推奨。ユーザー自身が作成するパスワードの場合)
使用できる文字
ASCII(RFC 20)文字、スペース、Unicode(ISO/ISC 10646)文字
その他の要件
特定の種類の情報(秘密の質問等)を使用するよう求めてはならない
一般的に使用されていたり、予期されたり、侵害が知られていたりする文字列は使用できないようにする
NISTガイドラインをもとに作成
日本の「インターネットの安全・安心ハンドブックVer5.00」
また、内閣サイバーセキュリティセンター(NISC)が作成し、警察庁、総務省、経済産業省およびIPAが協力している、「インターネットの安全・安心ハンドブックVer5.00」2 英大文字小文字+数字+記号で10桁以上 を推奨しています。
出典:NISCハンドブック
前述の総当たり攻撃は、理論上、いつかは正しいログインパスワードを当てられてしまうことになりますが、すべての組み合わせを試すには極めて長時間を要するため、ログインパスワードの文字列を複雑な組み合わせにすることによって、事実上、突破は不可能な状態にできるといえます。
ログインパスワードの定期的な変更は必要ない
サービスによっては、サービス利用者に対して、定期的にログインパスワードの変更を求める例も散見されます。もっとも、適切なログインパスワードを設定している場合に、定期的な変更を求めると、ログインパスワードの単純化やワンパターン化を招き、かえって脆弱なログインパスワードになってしまいかねません。そのため、NISCハンドブックにおいては、ログインパスワードについて、「定期変更は基本は必要なし」とされており、また、NISTガイドラインでは、ログインパスワードを定期的に変更することを要求してはならないとしています 。
ただし、アカウントが乗っ取られた場合や、ログインパスワードが流出したおそれがある場合などには、速やかにログインパスワードを変更のうえ、アカウントの安全性を確保するようユーザーに求めることが重要です。
多要素認証の活用
ログインパスワードを適切に設定することは、当人認証の第1歩として効果的です。もっとも、さらなる強固な対策として、ログインパスワードに加えて、「多要素認証」を活用することが推奨されます。
多要素認証 とは、サービス利用時に行う利用者認証を、以下の3つの要素(①知っているもの、②持っているもの、③本人自身に関するもの)のうち、2つ以上の要素を用いて行うものとされています 3
具体例
① 知っているもの
② 持っているもの
ワンタイムパスワード(SMS、電子メール、アプリによるトークン作成など)4
キャッシュカード番号
USBセキュリティキー
など
③ 本人自身に関するもの
ログインパスワードは、①の要素に含まれますので、これに②または③(もしくは両方)を組み合わせることで多要素認証を構成できます。
①と比べて、②または③のサービスへの実装にはコストがかかる面は否めませんが、サービス内容を踏まえ、適切な認証方法を実装することが重要です。
ログインパスワード管理とサービス利用規約に関する裁判例
Webサービスをユーザーに提供する際には、利用登録前に、サービスの利用規約に同意させることが一般的です。その利用規約には、パスワードの管理に関する規定が定められることがありますが、ここでは、ログインパスワードが流出し、当該条項の適用が問題となった裁判例を紹介します。
事案の概要
裁判例
暗号資産の交換業を営んでいたY社(被告)にアカウントを開設していたユーザーX(原告)が、当該アカウントに第三者からの不正アクセスを受けた結果、Xの暗号資産が外部に不正送付されたとして、XがY社に対して損害賠償等の支払いなどを求めた事案です。
本件サービスでは、①登録ユーザーが自身のアカウントにログインするとき、②ログイン後、新たに暗号資産の出金用の外部コインアドレスを作成するとき、③暗号資産を出金用の外部コインアドレスに送付するときに、登録ユーザーが任意に設定したログインパスワード を入力する方法により認証する必要があった
初回のログインパスワードは、ユーザーのアカウントを作成する際に登録するメールアドレスにY社から送信される。当該メールには、初回ログイン後にログインパスワードを変更するよう記載されているが、変更せずに使用することも可能であった(本件のXは初回ログインパスワードを変更せず使用していた )
本件サービス上、③暗号資産を出金用の外部コインアドレスに送付するときには、ログインパスワードに加えて、取引ごとに発行されるワンタイムパスワードを入力する二段階認証を行う必要があった。ワンタイムパスワードの発行方法は、本件サービスにおいて3種類あったが、Xは「登録メールアドレス宛にメールで送信する方法」を選択していた
本件サービス上、ワンタイムパスワードを「登録メールアドレス宛にメールで送信する方法」をとった場合、その登録メールアドレスのアカウントがハッキングされるとすべての認証を突破されてしまうため、二段階認証に加えてユーザーが設定した4桁の「PINコード」の入力が必要であった
その後、Xのメールアカウントがハッキングされ、ログインパスワード、ワンタイムパスワード、PINコードが盗取された結果、本件サービスへの不正アクセスが生じた
なお、Y社は本件サービスの利用規約に以下の条項を定めていました。
パスワードまたはユーザーIDの管理不十分、使用上の過誤、漏洩、第三者の使用、盗用等による損害の責任は登録ユーザーが負うものとし、当社は一切の責任を負いません。登録ユーザー本人が入力したか否かにかかわらず、パスワードまたはユーザーIDの一致により当社が本人認証を行い、本サービスの利用が行われたこと(例えば、登録ユーザーが利用するメールサービス等の他社サービスでパスワードまたはユーザーIDが盗まれる等した結果、本サービスの利用が行われたことを含む)を直接または間接の理由として損害が生じた場合を含みます。
裁判所の判断(サービス提供事業者の免責を認定)
裁判所は、以下の点を指摘し、Xのログインパスワード管理が不十分であったことを認定しました。
初回ログインパスワードを変更せずに利用したこと
ワンタイムパスワードの発行方法について、「登録メールアドレス宛にメールで送信する方法」をとったうえ、登録メールアドレスに届いたメールを自身の別のメールアドレスに転送されるように設定したうえで、当該別のメールアカウントのログインパスワードの一部を本件サービスの「PINコード」として使い回していたこと
さらに、裁判所は、Y社について、以下の点を指摘し、「登録ユーザーの利便性の見地からワンタイムパスワードのメール発行の方法を選択することも可能にしつつ、メール発行を選択した場合に登録メールアドレスのアカウントがハッキングされると二段階認証が突破される可能性があることに対する適切な対策を講じていたものというべきであって、本件各取引(筆者注:不正な取引)が行われることを防止する対策を怠った過失があるとはいえない 」として、利用規約を適用し、Y社の免責を認めました。
Y社は、本件サービスについて、初回ログインパスワードを変更しないまま利用することが可能な仕組みを採用してはいたものの、登録ユーザーに対し、初回ログインパスワードを変更するよう注意を喚起するメールを送信するとともに、二段階認証の設定を強く推奨し、ワンタイムパスワードについてメール発行を選択する場合、登録メールアドレスのアカウントがハッキングされると二段階認証が突破される可能性があることを説明し、SMS発行または認証アプリ発行を選択することを推奨する旨のメールを送信していたこと
メール発行を選択した場合に登録メールアドレスのアカウントがハッキングされると二段階認証が突破される可能性があることへの対策として、メール発行を選択した場合に限り、資産を出金用の外部コインアドレスに送付する際に、二段階認証に加えてPINコードによる認証を要することとしていたこと
裁判所の判断から学ぶべきことと実務上の対策
この裁判所の判断からは、以下の点について学ぶことができます。
利用規約における免責規定の考え方 本件各取引が行われることを防止する対策を怠った過失があるとはいえない 」として免責を認めていますが、そもそも元の利用規約の条項では「Y社の無過失」は免責の要件とはされていませんでした。この裁判例の解釈には議論があるところですが、企業としては、利用規約に免責条項が定められているという点のみをもって手放しに免責が認められると油断するのではなく、適切な対策を講じておくことが必要です。不正な取引を防止するための対策 本件各取引が行われることを防止する対策を怠った過失があるとはいえない 」と判断されるかの基準は明らかにはしていません。サービスごとにケースバイケースの判断になるとは思いますが、「裁判所の判断(サービス提供事業者の免責を認定) 」の章の後段であげたY社の対策は、1つの参考になると思います。
TMI総合法律事務所 パートナー弁護士。2006年弁護士登録。情報通信・IT及びエンタテインメント・メディア分野の企業法務を中心に取り扱い、コーポレートガバナンス・リスクマネジメントについても広く対応する。企業の社外役員を兼任し、スタートアップ支援も行う。主な著書として、『起業の法務――新規ビジネス設計のケースメソッド』(商事法務、2019年)、『IT・インターネットの法律相談〔改訂版〕』(青林書院、2020年)、「ITサービスにおける「利用規約」作成のポイント」(ビジネス法務連載、中央経済社)等。
TMI総合法律事務所 アソシエイト弁護士。2018年弁護士登録。訴訟紛争、事業再生、データ法制等の分野を専門とする。主なセミナー・著作として、『プライバシーポリシー作成のポイント』(共著、中央経済社)、「令和2年・令和3年改正個人情報保護法シリーズ 第3弾」(TMI・West Law Japan共催、2021年10月)、「ITサービスにおける「利用規約」作成のポイント」(ビジネス法務連載、中央経済社)等がある。
最新情報をフォローする
