こんにちは。シングルサインオン『jugaa』を開発している
クラウド軍師運営チームです。

「パスワードは定期的に変更しなくてはならない」と思っている方は多いのではないでしょうか。
実は、この考え方は一昔前のもの。現在では、「パスワードは定期的に変更する必要はない」という考え方が世界的な主流となっています。
では、このような考え方の変化はどのようにして起こったのでしょうか。

今回は、パスワードの定期変更についての考え方の変化とそのリスクに加え、不正アクセスの被害に遭いにくいパスワード対策についても解説していきます。

一概にパスワードは定期的に変更してはいけないわけではない

前述のとおり、「パスワードの定期的な変更は不要」というのが、現在の一般的な考え方です。とはいえ、パスワードは、変更しなければならない場合もあります。
まずは、パスワードの定期変更不要という考え方の裏付けとパスワード変更が必要なケースについて見ていきましょう。

パスワードの定期変更不要は新常識に

従来の「パスワードは定期的に変更しなくてはならない」という考えは、2006年に米国立標準技術研究所（NIST）が発表した「SP800-63」というガイドラインに基づくものでした。
しかし、2017年、NISTは「SP800-63-B」という改訂版ガイドラインを発表。その中で、「定期的なパスワードの変更は強制すべきでない」という方針を示したのです。

NISTのガイドラインは世界の標準として多くの国で採用されていて、「定期的なパスワード変更不要」という新たな考えは新常識となりつつあります。

また、日本の内閣サイバーセキュリティセンターも、『インターネット安全・安心ハンドブック』内で「パスワードの定期変更は基本は必要なし」と述べています。

ただし推測されやすいパスワードは変更が必要！

「パスワードの定期変更不要」という考え方は新常識ですが、これは複雑で推測されにくいパスワードおよび使い回ししていないパスワードを使用していて、アカウント乗っ取りやパスワード流出の恐れがない場合に限ります。
推測されやすいパスワードを使用していたり、アカウントの乗っ取り・パスワード流出が疑われたりする場合には、速やかなパスワード変更が必要です。

パスワードを決める時には次章以降の解説を参考にし、破られにくい安全性の高いパスワードを設定しましょう。

危険なパスワード例

パスワードは、複雑で他人から推測されにくいものを設定するのが基本です。
しかし、「覚えにくいから」「面倒だから」と、簡単に推測されてしまうような危険なパスワードを設定している人も少なくはありません。
ここでは、避けておきたい危険なパスワードの例をご紹介します。

危険なパスワードランキング

パスワード管理サービスを提供するNord Passは毎年危険なパスワードランキングを発表しています。その2021年の結果を表で見てみましょう。

（Nord Pass『Top200 most common passwords』より）

数字を順に並べたものやパスワードを英単語にしたもの、またキーボードの並びをそのままパスワードにしたものなどは、使用している人が多く、推測しやすい危険なパスワードだと言えます。

避けておきたいパスワード

他人から推測しやすく避けておきたいパスワードの例としては、以下のようなものがあります。

・名前や生年月日など個人情報から推測されるもの
・ユーザー名と同一
・ユーザ名+数字
・英単語（名詞、地名、製品名など辞書に含まれる言葉）
・組織の略語
・規則性のある数字や英字（順番、繰り返しなど）
・キーボードの並び

上記のようなパスワードは非常に推測しやすく、パスワードとしての危険性が高いと考えられます。
また近年では、パスワードを破るためのパスワードクラッカーというツールが出回っていて、そのツール内にはパスワードでよく使われる単語が登録されています。そのため、一般的な単語をパスワードに使用するのは危険。
危険なパスワードを使用している方は、速やかに複雑なパスワードへの変更を行いましょう。

パスワード解読の手口

パスワードを不正に解読するパスワードクラックの被害は深刻化しています。その代表的な手口が、以下の3種です。

①ブルートフォースアタック（総当たり攻撃）
順番に文字を変えながら、全てのパスワードパターンを試していく手口。
②リバースブルートフォース攻撃
1つのパスワードに対し、全てのIDパターンを試していく手口。
③辞書攻撃
パスワードに使われそうな意味のある言葉を辞書登録し、それを基に不正ログインを試みる手口。

このような手口を防止するには、パスワードの複雑化はもちろん、一定回数ログインに失敗した場合のアカウントロックやパスワード設定時のパスワードチェッカー導入などが効果的です。

第三者からアクセスされないパスワード対策方法

次に、第三者からの不正アクセスリスクを軽減するためのパスワード対策について解説していきます。
総務省では、安全なパスワード作成のために、以下の条件を示しています。

・名前などの個人情報からは推測できないこと
・単語などをそのまま使用していないこと
・アルファベットと数字が混在していること
・適切な長さの文字列であること
・類推しやすい並び方やその安易な組合せにしないこと
（総務省　国民のための情報セキュリティサイト『安全なパスワード管理』より）

これを踏まえ、具体的なパスワード対策について見ていきましょう。

文字数を増やす、数字を混ぜる

文字数を増やすだけで、パスワードクラックによる突破率は下がります。また、数字を混ぜるのも、パスワードを複雑化するのに効果的。
文字数や数字の追加によって、設定したいパスワードをもう一段階複雑化するよう工夫しましょう。

単語をそのまま使わず加工する

単語をそのままパスワードに使うのはNG。辞書攻撃で突破される恐れがあります。

パスワードに使う単語はそのまま使わず、加工するのがおすすめ。例としては、意図的なスペルミスをしたり、単語をローマ字化した文字列からキリのいい数文字をピックアップしたり、小文字と大文字を織り交ぜたりといった方法があります。
使いたい単語は工夫をプラスし、自分にしかわからない文字列へ加工しましょう。

パスフレーズを使う

パスワードには、単語ではなく、単語を組み合わせてフレーズにしたパスフレーズを使うことが推奨されています。フレーズにすることで文字数や複雑さは増し、他者からの推測を受けにくくなります。
また、フレーズにするとユーザー自身はそのパスフレーズを覚えやすく、失念リスクを軽減できます。

しかし、いちいちこれらすべてを踏まえたパスワードを作成するのは大変ですよね？そういう方にはこちらの無料パスワード自動生成ツールがオススメです。

文字数の指定や間違えやすい文字を除外したパスワードの作成、記号を含める含めないなどの設定がワンクリックで指定でき、簡単に安全なパスワードが作成できます。

多段階認証を活用

IDとパスワードだけによるログインでは、セキュリティは万全ではありません。ID・パスワードに、生体認証や秘密の質問、ワンタイムパスワードなどといったプラスの認証（二段階認証・二要素認証）を行い、セキュリティを強化すれば、二重の壁で情報を守ることができます。

参考：
二段階認証とは？二要素認証との違いやセキュリティ強化の方法も解説！

パスワードの定期変更はリスクがある

パスワードの定期変更が不要と考えられるようになった理由のひとつとして、パスワードの定期変更により生じるリスクが挙げられます。

パスワードの定期変更が必要となると、ユーザーが簡易なパスワードを設定してしまったり使い回ししてしまったりするリスクは高くなります。
また、定期的に変わるパスワードを覚えるため、メモを取るケースもあるでしょう。このメモが紛失したり流出したりすれば、不正ログインの危険性は高まります。

このようなリスクが発生することから、パスワードの定期変更による安全性に疑問符がつくようになりました。そして、複雑で推測されにくいパスワードに設定していれば、パスワードの定義変更は不要と考えられるようになったのです。

まとめ

パスワードの定期変更は、無理に行う必要はありません。それよりも大切なのは、第三者から推測されにくいパスワードを設定すること。
今一度、使用しているシステムのパスワードを見直し、必要に応じてパスワードの再設定を行いましょう。

また、パスワードだけでなく、認証方法や設定でセキュリティ対策を強化することも大切です。第三者からの攻撃や人為的ミスによる情報トラブルに対し、万全に備えるようにしてください。

監修者情報

株式会社アーバンライク　DX推進室　馬場翔太
情報系の大学を卒業後、システムエンジニアとして約７年間、金融系のシステム開発に従事。現在は、株式会社アーバンライクのDX推進室マネージャーとして、システム開発・プロジェクト管理・情報セキュリティ管理・インフラ管理を全て担当している。セキュリティ分野では、情報セキュリティマネジメント（SG）の資格を2021年に取得済み。

パスワードの定期変更に関するよくある質問