パスワードの定期的変更は不要 - 国民のためのサイバーセキュリティサイト

インターネットを使っていると、だんだん設定するパスワードが増えてきて煩わしくなってきます。

そのひとつにパスワードの再設定があります。

この再設定について、総務省のサイトにある「国民のためのサイバーセキュリティサイト」で、パスワードの「定期的な変更は不要」とアナウンスしています。

サイトでは、「実際にパスワードを破られアカウントが乗っ取られる等のサービス側から流出した事実がない場合は、パスワードを変更する必要はありません。」 とし、「定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。」としています。

確かにパスワードの使いまわしや他人に類推しやすいパスワードのほうが問題ですね。

パスワードを複数のサービスで使い回さない（定期的な変更は不要）
パスワードはできる限り、複数のサービスで使い回さないようにしましょう。サービスから流出したアカウント情報を使って、他のサービスへの不正ログインを試す攻撃の手口が知られています。もし重要情報を利用しているサービスで、他のサービスからの使い回しのパスワードを利用していた場合、他のサービスから何らかの原因でパスワードが漏洩してしまえば、第三者に重要情報にアクセスされてしまう可能性があります。

なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られる等のサービス側から流出した事実がない場合は、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。

これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所（NIST）からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです※1。また、日本においても、内閣サイバーセキュリティセンター（NISC）から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています※2。
IPA 独立行政法人情報処理推進機構にてパスワードを安全に利用するための情報が公開されているため合わせて確認してください※3。

※1 NIST SP800-63B（電子的認証に関するガイドライン）
※2 インターネットの安全・安心ハンドブック Ver 4.20 p.61 （別タブで開く）
※3 チョコっとプラスパスワード

推測できる簡単なパスワードを利用しないようにしよう／国民のためのサイバーセキュリティサイトから抜粋

参照：推測できる簡単なパスワードを利用しないようにしよう／国民のためのサイバーセキュリティサイト