あなたの会社では、いまだに「90日ごとの強制変更」や「記号・数字の混在」をルールにしていませんか?
実はそのルール、セキュリティを逆に弱めているかもしれません。
2024年から2025年にかけて公開された、米国国立標準技術研究所(NIST)の最新ガイドライン(SP 800-63B Rev.4)では、これまでの「常識」が明確に否定されました。
【比較表】旧ルール vs 最新ガイドライン
| 項目 | 従来の運用(旧常識) | 最新ガイドライン(新常識) |
| 定期変更 | 90日ごとに強制変更 | 原則不要(漏洩時のみ変更) |
| 複雑性 | 記号・数字・大文字を混ぜる | 複雑性の強制を禁止 |
| 文字数 | 最低8文字程度 | 最低15文字以上を推奨(パスフレーズ) |
| 認証方式 | パスワードのみ | 多要素認証(MFA)を強く推奨 |
| 利便性 | 低い(覚えにくい) | 高い(パスワードレス) |
なぜ「厳しいルール」が廃止されたのか?
これまで「鉄則」とされてきたルールが否定された理由はシンプルです。「人間には無理があり、攻撃者には有利だった」からです。
- 定期変更の罠
頻繁な変更を強制すると、ユーザーは「Password123」→「Password124」のように予測可能なパターンを作ります。これは攻撃者にとって絶好の標的です。
- 複雑性の限界
記号や数字を無理に混ぜると、覚えきれずに「付箋にメモする」「使い回す」といった危険な行動を誘発します。
- 攻撃の高速化
現代の攻撃者は高性能なGPUを使い、数秒で何十億通りのパスワードを試行します。人間が記憶できる程度の「複雑な8文字」は、もはや防御壁になりません。
これからの新常識:「長短より、強さと管理」
最新ガイドラインが推奨する、本当に安全な運用は以下の3点です。
- 「長くて覚えやすい」パスフレーズ
「kigou-suuji-123!」のような複雑な短文よりも、「Ashita-no-asa-wa-pan-da」のように、意味のある単語を組み合わせた15文字以上の長いフレーズが推奨されます。 - パスワードマネージャーの活用
すべてのサービスで異なる強力なパスワードを生成し、安全に保管する「パスワードマネージャー」の利用が、現代の標準的なセキュリティ対策です。 - パスワードだけに頼らない(MFA・パスキー)
どんなに強力なパスワードでも、フィッシング詐欺などで盗まれるリスクはゼロではありません。そこで重要になるのが多要素認証(MFA)です。
- 知識要素:パスワード(知っていること)
- 所持要素:スマホの認証アプリ、セキュリティキー(持っているもの)
- 生体要素:指紋、顔認証(本人そのもの)
これらを組み合わせることで、万が一パスワードが漏洩しても不正アクセスを食い止めることができます。
私たちが今すぐ見直すべきこと
セキュリティの目的は「ルールを守ること」ではなく「情報を守ること」です。
- 定期変更の強制をやめ、漏洩検知に注力する
- 文字数を15文字以上へシフトする
- できるだけ多要素認証(MFA)を全ユーザーに導入する
2026年現在、漏洩データベース「Have I Been Pwned」には175億件以上のアカウントが登録されています。パスワードの使い回しは「すでに鍵が盗まれている」状態と同じです。
(藤森)