企業のパスワードポリシー設計ガイド

この記事は約 8 分で読めます

多くの企業が採用しているパスワードポリシーは、「 90 日ごとに変更」 「英大文字・数字・記号を必ず含める」といった従来型のルールに基づいています。 しかし、米国国立標準技術研究所 (NIST) が発行する最新のガイドラインでは、 これらのルールの一部が逆効果であると指摘されています。 Verizon の 2024 年版 Data Breach Investigations Report によると、認証情報の 窃取・悪用が関与するデータ侵害は全体の約 31% を占めており、 企業のパスワードポリシー設計は依然として重要な課題です。さらに、 IBM の 2024 年 Cost of a Data Breach Report では、データ侵害 1 件あたりの 平均コストが 488 万ドルに達し、過去最高を更新しました。適切なパスワードポリシーの 設計は経営課題でもあります。 2025 年現在、 AI を活用したパスワード推測攻撃の 高度化により、従来型の「複雑だが短い」パスワードの脆弱性がさらに顕著になっています。 本記事では、 NIST SP 800-63B に基づく現代的なパスワードポリシーの設計方法と、 パスつく.com を社内ツールとして活用する提案を解説します。

NIST SP 800-63B ガイドラインの要点

NIST SP 800-63B は、デジタル認証に関する包括的なガイドラインであり、パスワード (NIST の用語では「記憶シークレット」) に関して従来の常識を覆す推奨事項を含んでいます。各種コンプライアンス要件への対応を検討する際にも、このガイドラインが基準となります。主要なポイントは以下のとおりです。

• パスワードの定期的な変更を強制しない - 漏洩の証拠がない限り変更を求めない
• 最低 8 文字以上を要求する (NIST の最低基準。実務では 12 文字以上を推奨)
• 文字種の組み合わせルール (大文字必須、記号必須など) を強制しない
• 漏洩済みパスワードのブロックリストと照合する
• パスワードのヒントやセキュリティの質問を使用しない
• 最大 64 文字以上の長いパスワードを許容する
• スペースを含むすべての印刷可能文字を許可する

これらの推奨事項は、ユーザーの行動心理を考慮した実証的な研究に基づいています。過度に複雑なルールを課すと、ユーザーは覚えやすい弱いパスワードを選んだり、メモに書き留めたりする傾向があるためです。

NIST ガイドラインの背景にある認証設計の考え方については、デジタル認証ガイドラインの関連書籍 (Amazon)も参考になります。

定期変更ポリシーの見直し

「パスワードは 90 日ごとに変更すべき」という従来のポリシーは、長年にわたりセキュリティのベストプラクティスとされてきました。しかし、 NIST をはじめとする複数のセキュリティ機関が、この慣行の見直しを推奨しています。

定期変更を強制した場合、ユーザーは以下のような回避行動を取りがちです。

• 末尾の数字を 1 つ増やすだけの変更 (「 Password1 」→「 Password2 」)
• 月名や季節を含めた予測可能なパターン (「 Spring2024!」→「 Summer2024!」)
• 複数のサービスで同じパスワードを使い回す
• 付箋やメモ帳にパスワードを書き留める

これらの行動は、定期変更によるセキュリティ向上の効果を打ち消し、むしろリスクを高めます。現代的なポリシーでは、十分に強力なパスワードを設定し、漏洩が確認された場合にのみ変更を求めるアプローチが推奨されます。注意すべき点として、定期変更の廃止は「変更しなくてよい」という意味ではなく、漏洩検知の仕組み (ブロックリスト照合や侵害通知サービスとの連携) を併せて導入することが前提条件です。検知体制なしに定期変更だけを廃止すると、漏洩したパスワードが長期間放置されるリスクが生じます。

最低文字数と複雑性の設定

パスワードの強度に最も大きく影響するのは「長さ」です。 NIST は最低 8 文字を要求していますが、これはあくまで最低基準であり、企業のポリシーとしては 12 文字以上、可能であれば 16 文字以上を推奨します。

一方で、「英大文字を 1 文字以上、数字を 1 文字以上、記号を 1 文字以上」といった文字種の組み合わせルールは、 NIST のガイドラインでは推奨されていません。このようなルールは、ユーザーに「 P@ssw0rd!」のような予測可能なパターンを生み出させる原因になるためです。

代わりに、長いパスフレーズ (複数の単語を組み合わせた文字列) の使用を許可・推奨し、スペースを含むすべての文字を入力可能にすることが望ましいとされています。ただし、パスつく.com のようなツールでランダムなパスワードを生成する場合は、文字種を多く含めることで同じ長さでもエントロピーを高められます。

企業ポリシーで文字種ルールを完全に撤廃する際の注意点として、パスワード強度とエントロピーの関連書籍 (Amazon)も参考になります。文字種ルールを廃止する代わりに、最低文字数を引き上げてエントロピーの下限を確保する設計が実務上は有効です。

ブロックリストの活用

NIST が強く推奨する対策の一つが、パスワードのブロックリスト照合です。ユーザーが設定しようとするパスワードを、以下のリストと照合し、該当する場合は拒否します。

• 過去のデータ漏洩で流出したパスワード (Have I Been Pwned の Pwned Passwords API など)
• 辞書に載っている一般的な単語
• 「 password 」「 123456 」「 qwerty 」などのよく使われるパスワード
• 会社名、サービス名、ユーザー名に基づく文字列
• 連続する文字や繰り返しパターン (「 aaaaaa 」「 abcdef 」)

ブロックリストの導入により、技術的に弱いパスワードの設定をシステム側で防止できます。ユーザーの判断に頼るのではなく、仕組みとして安全性を担保するアプローチです。 Have I Been Pwned の Pwned Passwords API は k-Anonymity モデルを採用しており、パスワードのハッシュ値の先頭 5 文字のみを送信するため、照合対象のパスワード自体が外部に漏れることはありません。企業システムへの組み込みも比較的容易です。

NIST ガイドラインと従来ポリシーの比較

従来型のパスワードポリシーと NIST SP 800-63B の推奨事項を比較すると、その違いは明確です。

• 定期変更: 従来は 90 日ごとに強制 → NIST は漏洩時のみ変更を推奨
• 文字種ルール: 従来は大文字・数字・記号を必須 → NIST は強制しない
• 最低文字数: 従来は 8 文字 → NIST は 8 文字 (実務では 12 文字以上を推奨)
• ブロックリスト: 従来は未導入が多い → NIST は漏洩パスワードとの照合を強く推奨
• パスフレーズ: 従来は非対応 → NIST はスペースを含む長い文字列を許容

この方針転換の背景には、 Carnegie Mellon 大学の研究チームによる 大規模な実証研究があります。定期変更を強制されたユーザーの 41% が 前回のパスワードから予測可能な変更しか行わなかったという結果が、 NIST の方針転換を後押ししました。パスワードスプレー攻撃の 記事でも解説しているとおり、予測可能なパスワードは攻撃者のリストに 含まれている可能性が高く、定期変更が逆にリスクを高めるケースがあります。ゼロトラストセキュリティを 導入する組織では、従来のパスワードローテーションも認証戦略全体の中で見直すべきです。

従業員教育のポイント

パスワードポリシーを策定しても、従業員がその意図を理解していなければ形骸化します。効果的な従業員教育には、以下の要素を含めてください。

• なぜそのルールなのかを説明する: 「定期変更を廃止した理由」「長いパスワードが推奨される根拠」を具体的に伝えることで、ルールへの納得感と遵守率が向上します。
• フィッシング対策の実践訓練: 模擬フィッシングメールを送信し、従業員の対応力を測定・向上させる訓練を定期的に実施します。
• インシデント報告の奨励: 不審なメールやログインを発見した場合の報告手順を明確にし、報告した従業員を責めない文化を醸成します。
• パスワードマネージャーの導入支援: 企業として推奨するパスワード管理ツールを提示し、導入手順のサポートを提供します。

パスつく.com を社内ツールとして活用する

パスつく.com は、企業のパスワードポリシーを実践するうえで有効な社内ツールとして活用できます。その理由は以下のとおりです。

ブラウザ完結でデータが外部に出ない

パスつく.com のパスワード生成処理はすべてブラウザ内で完結し、生成されたパスワードがネットワークを通じて外部に送信されることはありません。暗号学的に安全な乱数生成により、企業のセキュリティ要件を満たす強力なパスワードを安全に作成できます。

ポリシーに合わせた設定が可能

パスつく.com では、文字数、使用する文字種 (英大文字、英小文字、数字、記号)、先頭文字の種類、紛らわしい文字の除外など、細かな設定が可能です。企業のパスワードポリシーに合わせた推奨設定を従業員に共有すれば、ポリシー準拠のパスワードを誰でも簡単に生成できます。

一括生成で運用効率を向上

新入社員のアカウント初期設定や、インシデント発生時の一斉パスワード変更など、複数のパスワードを同時に生成する場面でも、パスつく.com の一括生成機能が役立ちます。生成個数を指定するだけで、すべて異なるランダムなパスワードをまとめて作成できます。

推奨される社内設定

企業でパスつく.com を活用する際の推奨設定は以下のとおりです。

• 文字数: 16 文字以上 (管理者アカウントは 20 文字以上)
• 文字種: 英大文字・英小文字・数字・記号の 4 種類すべてをオン
• 強度メーター: 80 ビット以上のエントロピーを確認
• 紛らわしい文字の除外: 口頭での伝達が必要な場面ではオンに設定

NIST のガイドラインに沿った現代的なパスワードポリシーと、パスつく.com による実践的なパスワード生成を組み合わせることで、企業全体のセキュリティレベルを効率的に向上させることができます。最小権限の原則に基づくアクセス管理と併せて運用することで、より堅牢な防御体制を構築できます。リモートワークのセキュリティ対策も含めた包括的なポリシー設計を推奨します。

パスワードポリシー導入チェックリスト

企業のパスワードポリシーを見直す際に、以下の項目を確認してください。

• 定期変更の強制を廃止し、漏洩検知ベースの変更ポリシーに移行したか
• 最低文字数を 12 文字以上に設定したか
• 漏洩パスワードのブロックリスト照合を導入したか
• 多要素認証を全従業員に展開したか。従業員が管理するパスワード数を減らすためにシングルサインオン (SSO) の導入も検討する
• レガシー認証プロトコル (IMAP 、 POP3 の Basic Auth) を無効化したか
• パスワードマネージャーの利用を推奨・支援しているか
• フィッシング訓練を四半期に 1 回以上実施しているか
• インシデント報告の手順が明確で、報告しやすい文化を醸成しているか

今すぐできること

1. 自社のパスワードポリシーを NIST SP 800-63B の推奨事項と照合し、定期変更の強制を廃止する
2. Have I Been Pwned の Pwned Passwords API を活用した漏洩パスワードのブロックリスト照合を導入する
3. パスつく.com を社内の推奨パスワード生成ツールとして従業員に案内し、 16 文字以上の設定を標準化する
4. 全従業員に多要素認証を展開し、レガシー認証プロトコルを無効化する
5. 四半期に 1 回のフィッシング訓練を計画し、従業員のセキュリティ意識を継続的に向上させる

よくある質問

パスワードの定期変更は本当に必要ですか？

NIST のガイドライン (SP 800-63B) では、漏洩の兆候がない限り定期変更は推奨されていません。強制的な定期変更はユーザーが単純なパスワードを使い回す原因になり、かえってセキュリティを低下させます。漏洩検知時の即時変更に切り替える方が効果的です。

企業のパスワードポリシーで最低何文字に設定すべきですか？

最低 12 文字以上を推奨します。NIST は最低 8 文字としていますが、現在の計算能力を考慮すると 12 文字以上が実用的な安全ラインです。パスワードマネージャーの導入と併せて 16 文字以上を推奨するとさらに効果的です。

従業員がパスワードポリシーを守らない場合はどうすればいいですか？

罰則よりも環境整備が効果的です。全社にパスワードマネージャーを導入し、SSO (シングルサインオン) で覚えるパスワードの数を減らしましょう。ポリシーが守られない原因の多くは「面倒だから」であり、技術的に負担を軽減することが最善の対策です。