密码轮换
本文约需 2 分钟阅读
パスワードローテーションとは、一定の期間ごとにパスワードを変更する運用慣行です。 かつては「90 日ごとに変更」のようなルールがセキュリティのベストプラクティスとされていましたが、 2017 年に NIST (米国国立標準技術研究所) が SP 800-63B で定期変更の非推奨を明示したことで、 パスワード運用のパラダイムは大きく転換しました。現在では、漏洩の兆候がない限り パスワードを変更しない「イベントドリブン型」のローテーションが国際的な標準になりつつあります。
NIST SP 800-63B によるパラダイムシフト
2017 年に改定された NIST SP 800-63B (Digital Identity Guidelines) は、 それまで常識とされていた定期的なパスワード変更を明確に非推奨としました。 この改定の背景には、定期変更がユーザーの行動に与える悪影響を示す複数の研究があります。 ノースカロライナ大学の研究 (2010 年) では、定期変更を強制されたユーザーの多くが 「Password1!」→「Password2!」→「Password3!」のように末尾の数字を変えるだけの パターン化した変更を行っていたことが明らかになりました。
定期変更が逆効果になるメカニズム
定期変更の義務化は、理論上はセキュリティを高めるはずですが、実際には以下の理由で 逆効果になることが多くの研究で示されています。
末尾の数字をインクリメントするだけの変更。攻撃者は旧パスワードから容易に推測できる。
頻繁な変更に疲れ、覚えやすい弱いパスワードを選択。パスワード疲れの典型例。
覚えきれず付箋やファイルに記録。物理的な漏洩リスクが増大する。
例外 - 即時変更が必要なケース
定期変更は非推奨ですが、以下のケースではパスワードの即時変更が必須です。 これがイベントドリブン型ローテーションの核心です。
- クレデンシャル漏洩が確認された場合 (Have I Been Pwned 等で検出)
- データ侵害の通知を受けた場合
- 不正アクセスの兆候がログに記録された場合
- マルウェア感染が検出され、パスワードが窃取された可能性がある場合
- 退職者や異動者のアカウントを引き継ぐ場合
日本の企業における現状
NIST の改定から 9 年が経過した 2026 年現在でも、日本の多くの企業では依然として 定期的なパスワード変更を義務化しています。総務省は 2018 年に「定期変更は不要」と する見解を公表しましたが、社内規程の改定が追いついていない組織が少なくありません。 特に金融機関や官公庁では、監査基準やコンプライアンス要件との整合性を理由に 旧来のルールが残りがちです。企業のパスワードポリシーの記事で 組織レベルでの見直し方法を詳しく解説しています。
| 観点 | 定期変更 (旧来型) | イベントドリブン型 |
|---|---|---|
| 変更タイミング | 90 日ごと等の固定周期 | 漏洩検知時のみ |
| ユーザー負荷 | 高い (疲労・単純化を誘発) | 低い |
| パスワード品質 | 低下しやすい | 維持しやすい |
| 準拠規格 | 旧 NIST、旧 PCI DSS | NIST SP 800-63B (2017~) |
イベントドリブン型への転換ステップ
組織が定期変更からイベントドリブン型に移行するには、技術的な対策と規程の改定を 並行して進める必要があります。パスワードポリシーの 見直しと合わせて、パスワードマネージャーの 導入や漏洩監視の 仕組みを整備することが重要です。
よくある誤解
「定期変更をやめたらセキュリティが下がるのでは」という懸念は根強いですが、 これは誤解です。NIST が非推奨としたのは「定期的な」変更であり、パスワード変更 そのものを否定しているわけではありません。漏洩が疑われる場合の即時変更は むしろ強く推奨されています。重要なのは、変更のトリガーを「時間の経過」から 「セキュリティイベントの発生」に切り替えることです。 パスワードに関する心理的な側面はパスワード心理学の記事で 詳しく解説しています。パスワードセキュリティの関連書籍 (Amazon)も参考になります。
現場での使用例
「当社では 2023 年に 90 日ごとのパスワード変更ルールを廃止し、 Have I Been Pwned API と連携した漏洩検知システムを導入しました。 パスワードリセット依頼が月 150 件から 20 件に減少し、 ヘルプデスクの工数が大幅に削減されました。同時に安全なパスワードの作り方を 全社研修で周知し、パスワード品質も向上しています。」
这篇文章对您有帮助吗?