定期的なパスワード変更は時代遅れ？進むガイドライン改正

「有効期限が切れています。パスワードを変更してください」

これからは、このようなメッセージにイライラすることもなくなるかもしれません。近年、さまざまなガイドラインにて定期的なパスワードの変更に関する見直しが進んでいます。今回は、パスワードに関する最新のトピックスをご紹介します。

「パスワードの定期的な変更」に関する誤解

長い間、定期的なパスワードの変更はセキュリティを強化するための必須手段と考えてきました。しかし、近年の研究や実際の運用経験から、パスワードの定期的な変更によるセキュリティ強化には誤解があることが明らかになってきました。

定期的なパスワード変更は「ユーザーが覚えやすい簡単なパスワードを選びがちになる」「パスワードをメモに書き留めてしまう」といったリスクが増大し、かえってユーザーの行動に悪影響を与えます。また、悪意のある攻撃者はパスワード変更サイクルを踏まえて攻撃を行うようなことはしませんので、定期的なパスワードの変更は直接的な防御策にはなりえません。

このような背景から、米国国立標準技術研究所（NIST）などの権威を持つ専門機関は、2017年に定期的なパスワード変更を推奨しないガイドラインを発行しています^※1。日本においても、内閣サイバーセキュリティセンター（NISC）より、パスワードを定期変更する必要はないというガイドラインが公表されています^※2。

※1：NIST「Special Publication 800-63」

※参考2：内閣サイバーセキュリティセンター「インターネットの安全・安心ハンドブック」

NISTおよびNISCが推奨するパスワードの規定

2024年8月、NISTは最新のパスワードポリシーに関するガイドライン「NIST Special Publication 800-63B-4」の第2版公開草案を発表しました^※3。

※3：NIST「Special Publication 800-63B-4.2」

同ガイドラインによれば、NISTが推奨するパスワードの要件は以下のとおりです。比較のため、NISCが公表する「インターネットの安全・安心ハンドブック」との比較を行いつつご紹介します。

	NISTSpecial Publication 800-63B-4	NISCインターネットの安全・安心ハンドブック
最小パスワード長	パスワードの長さは最低8文字であることを義務づけ、15文字以上を推奨するただし、過剰に長いパスワードは非推奨	パスワードの長さは最低10文字以上を推奨する
最長パスワード長	64文字までのパスワードを許可することを推奨する	記述なし
パスワードの文字構成	全ての印刷可能なASCII文字とスペース文字、Unicodeを利用できる必ずしも数字や特殊文字、大文字小文字を組み合わせる必要はない	英大文字小文字＋数字＋記号を組み合わせることを推奨
パスワードの定期的な変更	パスワードの定期的な変更をユーザーに要求してはならない。ただし、不正アクセスなどが発生した場合には変更を強制する	パスワードの定期変更の必要はないただし、不正アクセスなどが発生した場合には変更を強制する
知識ベース認証	パスワードを選択する際、「最初のペットの名前は何ですか」などの知識ベース認証やセキュリティの質問を使用してはならない	知識ベース認証を利用する場合、推測できないものとしつつ、忘れないようにパスワード管理アプリなどにメモを取る（正確に質問に答えない）
利用できないパスワード	・流出しているパスワード・辞書の単語・繰り返しまたは連続する文字（aaaaaaや1234abcdなど)・サービス名、ユーザー名、およびそれらの派生語などのコンテキスト固有の単語	記述無し

この最新のNISTのガイドラインについて引用しながら、いくつかポイントをご紹介していきます。

ポイント①：定期的なパスワードの変更を「要求してはならない」

原文：Verifiers SHALL NOT require users to periodically change memorized secrets. However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.

和訳：検証者（システム管理者）は、ユーザーに記憶された秘密（＝パスワード）を定期的に変更することを要求してはなりません。ただし、認証情報の漏洩が確認された場合、システム管理者は変更を強制しなければなりません。

NIST「Special Publication 800-63B-4.2」P16より

上記のとおり、NISTの最新ガイドラインでは、明確に定期的なパスワードの変更を実施しないように求めています。背景として「定期的なパスワードの変更によりセキュリティ水準は上がらないこと」「パスワードの変更により、ユーザーがパスワードを忘れてしまったり、ずさんな管理をしてしまったりする可能性が高まること」が挙げられます。

ポイント②：数字や特殊文字、大文字小文字を組み合わせる必要はない

原文：Verifiers SHALL NOT impose other composition rules (e.g., requiring mixtures of different character types or prohibiting consecutively repeated characters) for memorized secrets.

翻訳：システム管理者は、パスワードについて他の構成ルール（例えば、異なる文字タイプの混合を要求したり、連続して繰り返される文字を禁止したりすること）を課してはなりません。

NIST「Special Publication 800-63B-4.2」P16より

長年IT業界で業務をされている方には意外に感じられるかもしれませんが、最新のNISTのガイドラインではパスワード作成時に記号や大文字小文字、数字などを利用するように制約をかけることを禁止しています。

この理由について、NISTのガイドラインでは以下のように説明されています。

原文：Users also express frustration when attempts to create complex passwords are rejected by online services. Many services reject passwords with spaces and various special characters. In some cases, the special characters that are not accepted might be an effort to avoid attacks like SQL injection that depend on those characters.

翻訳：ユーザーは、複雑なパスワードの作成がオンラインサービスによって拒否されると、フラストレーションを感じることもあります。多くのサービスでは、スペースやさまざまな特殊文字を含むパスワードを拒否します。場合によっては、受け入れられない特殊文字は、SQLインジェクションなどの攻撃を回避するための対策である可能性があります。

NIST「Special Publication 800-63B-4.2」A. Strength of Passwords A.3 Complexityより

このように「ユーザーの心理的な負担面」や「SQLインジェクション対策」という観点を踏まえると、特定の文字種別の設定を制限する必要はない、というのがNISTの見解です。

ポイント③：知識ベース認証を「使用してはならない」

原文：Verifiers SHALL NOT prompt subscribers to use specific types of information (e.g., “What was the name of your first pet?”, a technique known as knowledge-based authentication (KBA) or security questions) when choosing memorized secrets.

翻訳：システム管理者は、記憶された秘密を選択する際に、特定の種類の情報（例：「あなたの最初のペットの名前は何ですか？」といった、知識ベース認証（KBA）またはセキュリティ質問として知られる技術）を使用するようにユーザーに促してはならない。

NIST「Special Publication 800-63B-4.2」P16より

近年では利用するサービスも少なくなりましたが、過去一般的であった「秘密の質問」による認証について、NISTは明確にNGを出しています。

これは「母親の旧姓やペットの名前など、秘密の質問は必ずしも自分自身しか知らない情報ではなく、漏えいしやすい」「秘密の質問を破ることで、大きな権限が付与されてしまう」といった問題点があるためです。

ポイント④：パスワードは一定以上の長さとする

原文：Memorized Secret Authenticators Memorized secrets SHALL be at least 8 characters in length.

翻訳：パスワードは少なくとも8文字でなければならない。

※参考8：NIST「Special Publication 800-63B-4.2」P14より

また、パスワードの最大長については以下のとおりできるだけ長いパスワードを利用できるようにすることが推奨されています。

原文：Users should be encouraged to make their passwords as lengthy as they want, within reason. Since the size of a hashed password is independent of its length, there is no reason to prohibit the use of lengthy passwords (or passphrases) if the user wishes.

翻訳：ユーザーは、合理的な範囲内で好きなだけ長くパスワードを設定するように奨励されるべきです。ハッシュされたパスワードのサイズは長さとは無関係であるため、ユーザーが望む場合に長いパスワード (またはパスフレーズ) の使用を禁止する理由はありません。

NIST「Special Publication 800-63B-4.2」A. Strength of Passwords A.2 Lengthより

この理由として、NISTは「パスワードが短すぎると、ブルートフォース攻撃や辞書攻撃に屈してしまう」というリスクを回避するためとしています。パスワード長が十分に長いことで、悪意のある攻撃者からの攻撃リスクを下げることができます。

ポイント⑤：パスワード管理ツールを活用する

原文：Verifiers SHALL allow the use of password managers. To facilitate their use, verifiers

SHOULD permit claimants to use “paste” functionality when entering a memorized secret. Password manangers may increase the likelihood that users will choose stronger

memorized secrets.

翻訳：システム管理者はパスワード管理ツールの使用を許可しなければなりません。その使用を促進するために、検証者は記憶された秘密を入力する際に「貼り付け」機能を使用できるようにするべきです。パスワード管理ツールは、ユーザーがより強力な記憶された秘密を選択する可能性を高めるかもしれません。

近年では、複雑化するパスワード管理に対応するためにパスワード管理ツールの利用も一般化しつつあります。企業によっては、ブラウザや個別ツールに備わるパスワード管理機能の利用について制限をかけているケースも見られますが、NISTではパスワード管理ツールの利用を推奨しています。上記の文章にもあるように、パスワード管理ツールを利用することでユーザーはより複雑なパスワードを設定しやすくなるためです。パスワード管理ツールの導入をされていない企業においては、導入を検討してみてもよいでしょう。

社内のパスワードポリシーのアップデートを検討すべき

このように、パスワードに求められる要件は年々変化が進んでいます。最新のNISTのガイドラインは、これまでの常識と大きく異なる部分も多くあるのではないでしょうか。最新の動向に注意しながら、社内のセキュリティポリシーに反映していく必要があるでしょう。企業は以下の観点でパスワードに関するポリシーを見直すべきです。