パスワードの定期的な変更が「不要」とされる理由

かつては「パスワードを定期的に変更すること」はセキュリティ対策の常識とされていましたが、現在では「必ずしも必要ない」という考え方が主流になっています。これには、ユーザーの行動心理と、セキュリティ脅威の変化が関係しています。

主な理由は、定期的な変更を強制されることで、かえってセキュリティレベルが低下する危険性があるためです。

逆効果になる2つの大きな理由

1. 推測されやすい単純なパスワードになりがち

頻繁にパスワードの変更を求められると、ユーザーは新しいパスワードを覚える負担を減らそうと、以前のパスワードに数字や記号を少し加えただけ、といった安易なものにしがちです。 例えば、「Password2024」を「Password2025!」に変えるようなパターンです。このような規則性のあるパスワードは、攻撃者にとって推測しやすくなってしまいます。

2. パスワードの使い回しが増える

多くのサービスで定期的な変更が求められると、すべてのパスワードを記憶しておくことが困難になります。その結果、同じ、あるいは非常に似たパスワードを複数のサービスで使い回してしまう傾向が強まります。 万が一、ひとつのサービスからパスワードが漏洩した場合、他のサービスでも不正にログインされる「パスワードリスト型攻撃」の被害に遭う危険性が高まります。

公的機関も方針を転換

このような状況を踏まえ、世界のセキュリティ基準も大きく変わりました。

• 米国国立標準技術研究所（NIST）の方針転換
  2017年、米国のNISTはパスワードに関するガイドラインを改定し、「サービス提供者はパスワードの定期変更を要求すべきでない」と方針を180度転換しました。
• 日本政府の対応
  NISTの動きを受け、日本の総務省や内閣サイバーセキュリティセンター（NISC）も、「パスワードの定期的な変更は不要」との見解を示しています。

では、どうすれば安全なのか？

パスワードを定期的に変更する代わりに、現在では以下の対策が重要とされています。

• 長く、複雑で、ユニークなパスワードを設定する
  他のサービスで使い回されていない、推測されにくい強力なパスワードを設定することが最も重要です。文字数を多くし、大文字、小文字、数字、記号を組み合わせることが推奨されます。
• 多要素認証（MFA）を活用する
  パスワードに加えて、SMSコードや認証アプリ、生体認証などを組み合わせる多要素認証は、不正アクセス対策として非常に有効です。
• パスワードマネージャーを利用する
  サービスごとに長く複雑なパスワードを作成し、安全に管理するためにパスワードマネージャーの利用が推奨されています。

パスワードを変更すべき時

「定期的」な変更は不要ですが、以下のようなケースでは速やかにパスワードを変更する必要があります。

• 利用しているサービスからパスワードが流出した、またはその可能性があると通知があった場合
• 不正ログインの形跡が見つかった場合
• 特定のサービスに設定した初期パスワードが単純なものである場合