パスワードの国際規格

概要[編集]

パスワードの国際規格は、個々のサービスが採用する認証仕様の「ばらつき」を減らし、利用者にとっての入力負担と管理者の運用負荷を同時に抑えることを狙った枠組みとして位置づけられている。とくに、入力欄における文字種のガイド、禁止パターン、更新頻度の設計思想が、国際的に整合されることが重視されたとされる^[1]。

この規格体系の特徴として、理論上の安全性だけでなく、現場での「運用事故」を最小化するための細則が多い点が挙げられる。たとえば、ロックアウトや失効のタイミングは、単なる計算機の挙動だけでなく、問い合わせ窓口の混雑、復旧手順の手戻り回数などの実務データに基づき設計されたと説明される^[2]。ただし、その実務データの取り方には、後述のような批判も残る。

規格は、各国の国内審議会が「翻訳」と「現地調整」を行い、最終的には認証プロバイダが準拠申告することで適用される。なお、申告の裏付けとして提出される年次報告書には、数値の多用が求められることが知られている。たとえば初期の運用では、監査スコア（PAS）が0〜1000の範囲に切り詰められ、四半期ごとに小数点以下第2位まで報告する運用が広まったとされる^[3]。

起源と成立[編集]

運用の仕組みと細則[編集]

パスワードの国際規格の実体は、単一のルールではなく、認証プロバイダが“同じ考え方”で実装できるようにするための一連の細則である。代表例として、入力直後の検査（フォーマット検査）、履歴照合（再利用抑制）、失効の時間幅（遅延失効）が組み合わされるとされる^[10]。

フォーマット検査では、文字種の組合せが“割合”で管理されるのが特徴である。具体的には、総文字数に対して数字比率が20〜35%の範囲、記号比率が0〜10%の範囲、英字の比率が65%以上といった形で上限・下限が与えられる。さらに細かく、記号の種類数が「最大3種類まで」と定められた例があり、現場ではこれを“記号三分割枠”と呼んだとされる^[11]。

履歴照合では、直前の更新履歴だけでなく、失効済みでも“再採用禁止期間”を設けることが求められる。ここで再採用禁止期間を日数でなく「通知回数」で指定する運用が試行され、最終的には「失念通知が3回発生するまで禁止」という変則ルールが残ったとされる^[12]。この表現が、実務では「通知メールの到達率」を監査対象に含める要因になったとの指摘がある。

失効の時間幅（遅延失効）も、現場の復旧コストを抑える設計と説明される。利用者がパスワード更新後すぐに入れない問題を減らすため、サーバ側での反映を“最大で48時間遅らせる”といった緩衝設計が採られた時期がある^[13]。ただし、その緩衝設計は、攻撃者が古いセッションを狙う余地を与える可能性があるとして、のちに論争の火種になった。

一覧：代表的な国際準拠ポリシーパターン[編集]

以下では、パスワードの国際規格に「準拠している」と申告されたことがある代表的なポリシーパターンを挙げる。これらは実際の安全性を直接保証するものではないが、規格文書で見られる“典型的な運用の型”として参照されてきた^[14]。

選定基準としては、(1)国内審議会の採用事例が確認されている、(2)監査報告書でPASスコアの上昇または低下が報告された、(3)利用者導線（問い合わせ・復旧）への影響が記録されている、の3点が重視された。なお、文献によっては命名の揺れがあり、同一パターンでも別名で掲載されていることがある^[15]。

メインの一覧は、準拠申告が特に多かった“時期”と“運用の癖”で分けている。

一覧（時期別）[編集]

1997年〜2003年：初期統一期

1. 「CTO-7B級」(1998年) - ボンの適合性試験所で、7文字儀式を基礎にした“B級”妥協案として導入された。問い合わせ窓口の折り返し率が下がったことで採用が広がったとされ、現場では“折り返し安全”と揶揄された^[16]。

2. 「二重履歴短縮型」(2000年) - 再利用抑制の履歴を2世代分に絞る代わりに、失念通知を増やす設計である。ユーザー側の努力を増やす一方、管理者側のDB負荷が減るため、企業の情報システム部門に好まれたとされる^[17]。もっとも、通知が迷惑メール扱いされる事案が続出し、のちに改訂された。

3. 「記号三分割枠」(2001年) - 記号の種類数を最大3に制限し、残りを英数字に回す方針である。規格の設計者は「記号が増えると学習教材の文脈が崩れる」と説明したが、実際には入力端末のキーボード配列差への対処だったと推測される^[18]。

4. 「遅延失効48h」(2002年) - 更新直後の反映を48時間遅延させることで、利用者が“更新したのに弾かれる”事象を減らす。復旧手順の手戻りが統計上で約31%減少したと報告される一方、攻撃者向けの観測窓が長くなるとして警戒も受けた^[19]。

2004年〜2013年：暗記最適化期

5. 「CII調整版」(2004年) - 連鎖失念指数（CII）を直接運用値に転換し、利用者の失敗傾向に応じて“文字種検査の厳しさ”を緩急するタイプである。監査報告では、CIIの変動が月次で±0.8%程度に収束したとされる^[20]。ただし、緩急があるためフィッシングが“検査の揺れ”を利用する余地も出たと指摘される。

6. 「旅行者互換パック」(2006年) - 利用者が東京とパリで同じ入力パターンを使い回せるよう、禁止リストを“旅行者言語”に最適化した版である。たとえば禁則語に含めない“月曜日の綴り”が多言語でズレるよう調整されたとされ、皮肉にも「言語に詳しい人ほど安全になる」結果を招いたという記録がある^[21]。

7. 「反復回文許可枠」(2008年) - 反復や回文のような“規格化しやすい形”を一部許可する代わりに、更新間隔を短縮する設計である。理念としては覚えやすさを担保する狙いだが、攻撃者がテンプレを作りやすくなるため、セキュリティ監査で何度も火消しが起きた^[22]。それでも導入が止まらなかったのは、復旧申請の平均日数が22.4日から18.1日へ短縮されたためだとされる^[23]。

8. 「PIN併用誤差耐性」(2010年) - パスワード入力の途中で入力揺れ（例：数字の一部を近いキーに誤る）を考慮し、正規化後に検査する方針を取った。結果として、誤入力によるロックアウト率が0.07%まで下がったと報告された^[24]。ただし正規化の実装が雑なサービスでは、誤入力が“別パスワード扱い”になってしまう事故も発生したとされる。

2014年〜現在風：監査透明化期

9. 「PAS-監査透明スコープ」(2014年) - 年次監査スコア（PAS）の内訳を公開することを前提に、入力履歴・失効遅延・禁止パターンの“どこを採点したか”を明記する方式である。監査の透明性は上がったが、攻撃者が“採点されにくい弱点”を探す動きも生まれたとされる^[25]。

10. 「アカウント統合抑制型」(2016年) - 複数サービスのアカウント統合時にパスワードを再利用しないよう、共通パターンの検査を強化する。統合手順の自動化を進めた企業ほど、導入後に問い合わせが増えたとも言われる。これは統合が進むほど“似たパスワード”が集中するためだと説明された^[26]。

11. 「記号上限再配置」(2018年) - 記号三分割枠の考え方を継承しつつ、記号比率を一定に保つのではなく“更新タイミング”で調整する発想を入れた。監査報告書では、記号の出現位置の偏り（先頭/末尾）が平均で14.2%改善したとされる^[27]。

12. 「遅延失効短縮トライアル」(2021年) - 遅延失効48hを段階的に短縮し、最大12時間まで縮めたとされる。復旧コストは一時的に上がったが、セッション観測リスクを抑える意図があったとされる^[28]。ただし、利用者が“更新したのに入れない”体験を再び増やす結果にもなった。

13. 「国別禁止語辞書統合案」(2023年) - 各国の禁止語リストを統合し、差分を“地域コード”として持つ案である。安全性を高めるとされる一方で、各国の言語文化に対する配慮が欠けるとの批判が強まり、採用国は限定されたと推定される^[29]。

14. 「会議室暗記推奨パッケージ」(2024年) - 利用者が覚えやすいように、会議でよく出る語彙を“安全な文脈”として提示する方式である。規格の精神は“暗記を支援する”だが、実際には組織内の固有語が流用されやすくなるとして問題視された^[30]。

批判と論争[編集]

パスワードの国際規格は、運用事故を減らした面がある一方で、攻撃者の観測やテンプレ化を助長したとして批判されてきた。とくに、遅延失効や禁止語辞書のように“ルールが行動を導く”要素が多いほど、逆に攻撃の推定が容易になるのではないか、という指摘が繰り返されている^[31]。

また、規格の策定過程における“現場データの性格”が論点になった。監査スコア（PAS）の算出には、通報や問い合わせの件数が強く含まれ、セキュリティの専門性とコールセンター運用の都合が結びつきやすい構造だとされる^[32]。実際、PASが高いにもかかわらず、侵害検知までの時間（MTTD）が改善しないケースがあった、とする内部報告が回覧されたとも伝えられる。

さらに、ある段階から「準拠していれば安全」という誤解が広まり、ユーザー教育が形式化したという見解もある。規格に適合するパスワードの“見た目”が揃う結果、利用者は覚えやすいテンプレへ寄ってしまう。これに対し、IGRA側は「テンプレ化はユーザーの責任」とする説明を行ったが、反発が大きく、国内審議会の議事録では“責任転嫁”という表現まで登場したとされる^[33]。

なお、真面目に読むと笑える矛盾として、規格本文では「英字大文字の使用は推奨されない」としながら、特定の準拠パターンでは大文字比率の“推定目標”が明示されている点が挙げられる。編集上の整合性不足として処理されたが、追補号では“推奨されない”が「推奨されない形式の推奨」だと釈明されたと報告されている^[34]。

脚注[編集]

関連項目[編集]

認証局

暗記負荷

コールセンター工学

テンプレ化脆弱性

ゼロトラスト仮説

パスワードマネージャー

失効遅延

禁止語辞書

脚注

1. ^ 国際規格調整局IGRA『認証仕様統一の手引き—パスワード版（第1草案）』IGRA出版, 1997.
2. ^ Margaret A. Thornton『A Comparative Study of Operational Password Policies』International Journal of Digital Compliance, Vol.12 No.3, pp.41-68, 2002.
3. ^ 佐藤 貴之『暗記負荷を測る—連鎖失念指数（CII）の設計』情報処理学会論文誌, 第58巻第4号, pp.1207-1222, 2004.
4. ^ E. Müller『Conformance Testing and the “Seven-Character Ritual”』Journal of Applied Authentication, Vol.7 No.1, pp.9-33, 1999.
5. ^ 【要出典】Katrin Holm『PAS Scores and the Myth of Predictive Safety』Security Management Review, Vol.19 No.2, pp.77-101, 2014.
6. ^ 田中 彩香『遅延失効が復旧行動に与える影響：48時間の現場実験』セキュリティ運用研究, 第23巻第1号, pp.55-74, 2006.
7. ^ R. Calder & J. Nishimura『International Password Standardization Across Multilingual Portals』Computer Security Quarterly, Vol.31 No.4, pp.301-329, 2011.
8. ^ IGRA文書編纂室『PAS-監査透明スコープ：改訂要点と計算式』IGRA出版, 2014.
9. ^ Laura Vandenberg『Account Integration and Reuse Suppression Schemes』Proceedings of the Workshop on Identity Logistics, pp.88-99, 2016.
10. ^ 渡辺 精一郎『禁止語辞書の統合が生む副作用』日本認証学会紀要, 第9巻第2号, pp.210-238, 2023.

外部リンク

• IGRA 規格文書リポジトリ
• PAS 監査スコア可視化ポータル
• Conformance Testing Office 事例集
• 暗記負荷測定コンソーシアム
• テンプレ化脆弱性アラート