この記事は更新から24ヶ月以上経過しているため、最新の情報を別途確認することを推奨いたします。

従来、定期的にパスワード変更を行うことで、パスワードの漏洩に備えることが一般的な対策とされていました。

 

[2012年時の IPA ガイドライン]
5ページ目　パスワードの設定例
https://www.ipa.go.jp/security/antivirus/documents/04_fusei.pdf
(抜粋)
パスワード盗難対策：
(1) 定期的にパスワードを変更する

 

上記ガイドラインに従うと、パスワードが漏洩した場合に悪用を防止できる一面はあります。
しかしながら、パスワードの悪用の事実やリスクを考慮せず、ただただ決められた期間にてパスワード変更を行う場合は、パスワードが更新されるまでの期間が悪用を許容する期間になりかねません。
そのため、現在のパスワード管理の考え方としては、定期的に変更するよりも、アカウントが乗っ取られるなどのリスクにさらされた場合にパスワードを変更するよう代わっております。

 

[2018年3月時の総務省のガイドライン]
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html
(抜粋)
実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。
むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。

 

ガイドラインに沿うために必要な具体的なサービスとしては、Microsoft 365 などに含まれる Azure AD Identitiy Protection になります。
ユーザーリスクレベルを自動算出し、パスワード窃取の行動を検知・対策し、パスワードの盗用行為を抑止することで、結果的にパスワードの変更自体を不要とすることができます。

 

[Azure Active Directory Identity Protection とは]

https://docs.microsoft.com/ja-jp/azure/active-directory/identity-protection/overview