Password Rotation - Periodic Credential Changes

About 2 min read

パスワードローテーションとは、一定の期間ごとにパスワードを変更する運用慣行です。 かつては「90 日ごとに変更」のようなルールがセキュリティのベストプラクティスとされていましたが、 2017 年に NIST (米国国立標準技術研究所) が SP 800-63B で定期変更の非推奨を明示したことで、 パスワード運用のパラダイムは大きく転換しました。現在では、漏洩の兆候がない限り パスワードを変更しない「イベントドリブン型」のローテーションが国際的な標準になりつつあります。

NIST SP 800-63B によるパラダイムシフト

2017 年に改定された NIST SP 800-63B (Digital Identity Guidelines) は、 それまで常識とされていた定期的なパスワード変更を明確に非推奨としました。 この改定の背景には、定期変更がユーザーの行動に与える悪影響を示す複数の研究があります。 ノースカロライナ大学の研究 (2010 年) では、定期変更を強制されたユーザーの多くが 「Password1!」→「Password2!」→「Password3!」のように末尾の数字を変えるだけの パターン化した変更を行っていたことが明らかになりました。

定期変更が逆効果になるメカニズム

定期変更の義務化は、理論上はセキュリティを高めるはずですが、実際には以下の理由で 逆効果になることが多くの研究で示されています。

例外 - 即時変更が必要なケース

定期変更は非推奨ですが、以下のケースではパスワードの即時変更が必須です。 これがイベントドリブン型ローテーションの核心です。

• クレデンシャル漏洩が確認された場合 (Have I Been Pwned 等で検出)
• データ侵害の通知を受けた場合
• 不正アクセスの兆候がログに記録された場合
• マルウェア感染が検出され、パスワードが窃取された可能性がある場合
• 退職者や異動者のアカウントを引き継ぐ場合

日本の企業における現状

NIST の改定から 9 年が経過した 2026 年現在でも、日本の多くの企業では依然として 定期的なパスワード変更を義務化しています。総務省は 2018 年に「定期変更は不要」と する見解を公表しましたが、社内規程の改定が追いついていない組織が少なくありません。 特に金融機関や官公庁では、監査基準やコンプライアンス要件との整合性を理由に 旧来のルールが残りがちです。企業のパスワードポリシーの記事で 組織レベルでの見直し方法を詳しく解説しています。

イベントドリブン型への転換ステップ

組織が定期変更からイベントドリブン型に移行するには、技術的な対策と規程の改定を 並行して進める必要があります。パスワードポリシーの 見直しと合わせて、パスワードマネージャーの 導入や漏洩監視の 仕組みを整備することが重要です。

よくある誤解

「定期変更をやめたらセキュリティが下がるのでは」という懸念は根強いですが、 これは誤解です。NIST が非推奨としたのは「定期的な」変更であり、パスワード変更 そのものを否定しているわけではありません。漏洩が疑われる場合の即時変更は むしろ強く推奨されています。重要なのは、変更のトリガーを「時間の経過」から 「セキュリティイベントの発生」に切り替えることです。 パスワードに関する心理的な側面はパスワード心理学の記事で 詳しく解説しています。password security books on Amazonも参考になります。

現場での使用例

「当社では 2023 年に 90 日ごとのパスワード変更ルールを廃止し、 Have I Been Pwned API と連携した漏洩検知システムを導入しました。 パスワードリセット依頼が月 150 件から 20 件に減少し、 ヘルプデスクの工数が大幅に削減されました。同時に安全なパスワードの作り方を 全社研修で周知し、パスワード品質も向上しています。」