セキュリティを高める方法として、「パスワードを定期的に変更する」というテクニックを聞いたことはありませんか？

確かに、かつてはパスコードを定期的に変更する事がセキュリティを向上させると考えられていました。

しかし、現在ではこの考えは見直されています。

国家機関が「パスワードは定期的に変更しなくて良い」と明言

米国国立標準技術研究所（NIST）は、2016年に「パスワードの定期変更をユーザーに求めるべきではない」と文書で明言しました。

NISTに勤め、「パスワードは定期的に変更するべき」というルールを考案したビル・バー氏は、2017年にこのルールが誤りであると告白しました。

告白したのは米国立標準技術研究所（NIST）に勤務していた2003年にパスワードの作成および変更にまつわるルールを考案したBill Burr氏。同氏がまとめた手順書「NIST Special Publication 800-63. Appendix A.」はNISTを通じて世界中で使われるようになったが、それらのルールは結果的に間違いであり、ユーザーが真に利用すべきなのは長く覚えやすいパスワードであり、変更するのは90日ごとではなくパスワードが流出した場合のみだったというもの。

出典：【やじうまWatch】 「パスワードの定期変更は正しくない」――考案者が自ら過去の過ちを認める発言 – INTERNET Watch

（余談ですが、ビル・バー氏はこの告白において「世界に誤った見解を広めたきっかけとなったことを深く後悔している」と語っています。）

日本の総務省や内閣サイバーセキュリティセンター（NISC）も、パスワードの定期的な変更は不要であると示しています。

総務省が運営するサイト「国民のためのサイバーセキュリティサイト」には、以下のように記されています。

利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られる等のサービス側から流出した事実がない場合は、パスワードを変更する必要はありません。

出典：安全なパスワードの設定・管理 | 国民のためのサイバーセキュリティサイト

パスワードを定期的に変更してはいけない！

パスワードを定期的に変更する必要はありません。

むしろ、パスワードの定期的な変更はセキュリティを低下させるという事が分かっています。

NISTによると、「ユーザーは近い将来にパスワードを変更することがわかっている場合、記憶された弱いパスワードを選択する傾向にある」ため、定期的にパスワードを変更すると、むしろ弱いパスワードを設定してしまい、セキュリティを低下させてしまうとの事。

また、英国立サイバーセキュリティセンターも、定期的なパスワードの更新をユーザーに要求すると、パスワードをメモに書き留めたり忘れたりする可能性が高くなるため、セキュリティ向上には寄与しないと報告しています。

日本の総務省も、「定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題」とウェブサイトに記しています。

となります。

まとめ

パスワードを定期的に変更しようとすると、しばしば簡単なパスワードを設定してしまい、かえってセキュリティが低下してしまう事が研究で明らかになっています。

そのため、パスワードの定期的な変更は、現在では推奨されません。

もちろん、セキュリティに懸念がある場合やパスワードの流出が懸念される場合には、すぐにパスワードを変更した方が良いです。

具体的には、現在設定しているパスワードがカンタンなものである場合や、公共のコンピューターでパスワードを入力した場合などです。

しかし、既に十分強力なパスワードを設定しているのなら、パスワードを定期的に変更する必要はありません。