リスクに応じた動的なパスワード変更

この記事は更新から24ヶ月以上経過しているため、最新の情報を別途確認することを推奨いたします。

従来、定期的にパスワード変更を行うことで、パスワードの漏洩に備えることが一般的な対策とされていました。

 

[2012年時の IPA ガイドライン]
5ページ目 パスワードの設定例
https://www.ipa.go.jp/security/antivirus/documents/04_fusei.pdf
(抜粋)
パスワード盗難対策:
(1) 定期的にパスワードを変更する

 

上記ガイドラインに従うと、パスワードが漏洩した場合に悪用を防止できる一面はあります。
しかしながら、パスワードの悪用の事実やリスクを考慮せず、ただただ決められた期間にてパスワード変更を行う場合は、パスワードが更新されるまでの期間が悪用を許容する期間になりかねません。
そのため、現在のパスワード管理の考え方としては、定期的に変更するよりも、アカウントが乗っ取られるなどのリスクにさらされた場合にパスワードを変更するよう代わっております。

 

[2018年3月時の総務省のガイドライン]
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html
(抜粋)
実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。
むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。

 

ガイドラインに沿うために必要な具体的なサービスとしては、Microsoft 365 などに含まれる Azure AD Identitiy Protection になります。
ユーザーリスクレベルを自動算出し、パスワード窃取の行動を検知・対策し、パスワードの盗用行為を抑止することで、結果的にパスワードの変更自体を不要とすることができます。

 

[Azure Active Directory Identity Protection とは]

https://docs.microsoft.com/ja-jp/azure/active-directory/identity-protection/overview

いいね (←参考になった場合はハートマークを押して評価お願いします)
読み込み中...

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、当社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。

※当サイトはマイクロソフト社によるサポートページではございません。パーソルクロステクノロジー株式会社が運営しているサイトのため、マイクロソフト社によるサポートを希望される方は適切な問い合わせ先にご確認ください。
 【重要】マイクロソフト社のサポートをお求めの方は、問い合わせ窓口をご確認ください