[画像のクリックで拡大表示]
日本情報経済社会推進協会(JIPDEC)とITRが2019年1月17日から2月4日にITRの独自パネルに対するWebアンケートを実施。対象は従業員数50名以上の国内企業でIT戦略策定や情報セキュリティ施策に関わる課長職相当以上の役職者。有効回答数は686人。
(出所:日本情報経済社会推進協会(JIPDEC)、アイ・ティ・アール(ITR)「企業IT利活用動向調査2019」速報、2019年3月26日)
[画像のクリックで拡大表示]

 「企業IT利活用動向調査2019」速報によると、2018年3月に総務省がパスワードの定期的な変更は不要との見解を示したにも関わらず、「これまで通りパスワードの定期変更を行っている」という企業が54.5%を占めた。

 調査は日本情報経済社会推進協会(JIPDEC)とアイ・ティ・アール(ITR)が共同で実施した。

 「定期変更を止めた」という企業はわずか8.0%で、定期変更を止めて「他の認証を追加した」(6.4%)、「他の認証に変更した」(1.3%)、「複数認証の組み合わせ(多要素認証)に変更した」(5.5%)といったパスワードの定期変更を中止して認証方式の高度化に取り組んだ企業も1割強にとどまった。

 総務省は定期的な変更がかえってパスワードの単純化や使い回しを助長して脆弱性を増大させるとしてパスワードを変更する必要はないという見解を示した。利用するサービスによってはパスワードの定期変更を求められるものの、実際にパスワードを破られたりアカウントが乗っ取られたり流出した事実がなければ定期的な変更よりも使い回しのない固有のパスワードの設定が求められるとした。

 JIPDECとITRは「企業はパスワード認証の問題点に対する理解と、多要素認証など他の認証方式との組み合わせの採用が望まれる」と指摘している。

 また、2018年5月に施行された一般データ保護規則(GDPR)への対応状況については「GDPRに則った形で適正に個人情報の移転を行っている」という企業が前年よりも8ポイント増加して34.4%を占めた一方、現在も未対応の企業が合計3割超を占めた。