ご契約様専用ページ

ID / パスワードをお忘れの方は こちら
※メーラが立ち上がります

※メーラが自動で立ち上がらない方は、
g-security@dentsusoken.com 宛てに
契約中のソリューション名(SecurityScorecard/KnowBe4)と
お客様情報をご連絡お願いいたします。

  1. ホーム
  2. コラム
  3. パスワード変更の理由とは?必要性と見直し方を解説

パスワード変更の理由とは?必要性と見直し方を解説

  • #脅威インテリジェンス

【目次】

  1. 1.パスワードを変更する主な理由とは何なのか
  2. 2.「パスワードの定期変更は不要」という考え方は本当か?
  3. 3.「なぜ今変えるのか」を明確化する ー ID・パスワード漏えい監視の導入
  4. 4.パスワード変更を“ルール順守”から“セキュリティ対策”へ
多要素認証や生体認証など、さまざまな認証方式が普及する中で、定期的なパスワード変更は本当に意味があるのでしょうか。本記事では、パスワード変更の理由と運用ルールについて整理し、今企業が見直すべきポイントを解説します。

パスワードを変更する主な理由とは何なのか

◎パスワードの変更は「ルール順守」ではなく「リスク対策」

企業では、一定期間ごとにパスワードの変更を求める運用が一般的に行われています。しかし、パスワード変更は、単にルールを順守するために行うものではありません。フィッシングや情報漏えいなどにより、ID・パスワードの安全性が損なわれた可能性がある場合に、不正利用のリスクを低減するための重要な対策です。
 
多くの企業では、自社のID・パスワードが流出しているかを正確に把握することが難しいため、定期的なパスワード変更によって、万が一の被害を最小限に抑える対策を取ってきました。つまり、パスワード変更とは「決められているから行う」ものではなく、「リスクに対応するための現実的な対策」です。

◎ID・パスワード情報は一度漏えいすると、気づかないまま悪用され続ける

一度漏えいしたID・パスワードは、すぐに利用されるとは限りません。実際には、ダークウェブなどで長期間にわたり流通し、時間をかけて悪用されるケースが多く見られます。
認証情報が漏えいする経路は次のようなものがあります。
 
  • フィッシング:本人が偽サイトへ入力する
  • 情報窃取型マルウェア:端末からパスワードやクッキーを盗み取る
  • サードパーティ侵害:外部サービスの情報漏えいが自社へ波及する
 
たとえば深夜だけのアクセスや、月に数回程度のログインなど、目立たない形で利用され続けることもあります。そのため、ログ上の明確な異常だけで安全性を判断するのは困難です。もちろん、ランサムウェア攻撃などを除けば、認証情報を窃取したことを攻撃者が当事者に知らせることはありません。
 
つまり、「気づかないまま使われ続けるリスク」が常に存在します。だからこそ、認証情報の漏えいの可能性を否定できない場合、同じパスワードを使い続けること自体がリスクになるのです。

◎パスワードを変更する主な理由は、「安全ではなくなった状態」を断ち切ること

パスワードを変更する主な理由は明確で、 安全ではなくなった(可能性がある)認証情報を、これ以上使わせないためです。必ずしも認証情報の漏えいが確定している場合に限る必要はありません。
自組織に次のような兆候がある場合でも、パスワードの変更は充分に妥当です。
 
  • 外部の兆候:メールアドレスに関連する漏えいが報告された
  • 攻撃の兆候:フィッシングの増加や不審なログイン試行が確認された
  • 行動の兆候:パスワードの使い回しをしている
  • 設定の兆候:過去のシステム設定に不備がある
 
重要なのは、「何を防ぐために、変更する必要があるのか、なぜ今なのか」を説明できる状態にすることです。それが明確化されれば、パスワードを変更することは“形式的なルールの対応”ではなく、納得感のある“リスク対策”として機能します。

「パスワードの定期変更は不要」という考え方は本当か?

NIST(アメリカ国立標準技術研究所)が公開しているNIST SP 800‑63-4をはじめとする近年のセキュリティガイドラインにおいては、定期的なパスワード変更を一律に求める考え方は見直されています。
 
ただし、企業の現場では必ずしもその方針をそのまま適用できるとは限りません。

◎「パスワードの定期変更は不要」という考え方の前提

現在推奨されている運用は、「原則、任意の期間で一律にパスワードを変更する必要はなく、侵害の疑いや事実がある場合にのみ即時変更する」という考え方です。この考え方は、次の対策が十分に機能していることを前提としています。
 
  • 長くユニークなパスフレーズの利用
  • すでに漏えいしたパスワードのブロック(照合)
  • MFA (多要素認証)の常時利用
 
このような前提があるため、定期変更が不要とされる理由は次の通りです。

・頻繁な変更はかえって脆弱になる

記憶する負担が増えることで、予測しやすいパスワードに変更する、またはパスワードを使いまわす、など、結果として逆効果になってしまうことが指摘されています。

・“根拠のない一律変更”より“兆候に応じた即時変更”が合理的

NIST(アメリカ国立標準技術研究所)では、任意の期限での強制変更を推奨せず、侵害の疑いや証拠がある場合にのみ変更する方針へと見直されています。

・代替策が実用レベルにある

パスワードを長くすることに加え、漏えい済みパスワードの利用を防ぐ仕組みやMFAを組み合わせることで、定期的な変更よりも高い効果を、より少ない運用負荷で実現できます。

◎企業環境では、その前提が常に成り立つとは限らない

しかし現実問題として、企業の環境ではこれらの前提が必ずしも整っているとは限りません。
  • 長いパスフレーズやMFAが利用できないシステムが残っている
  • パスワード管理ツールやMFAが全社で徹底されていない
  • 従業員ごとに外部サービスの利用状況にばらつきがある
  • ID・パスワードなどの漏えいを監視する仕組みが整っていない
 
こうした環境では、「侵害の兆候を検知したら変更する」という運用がそもそも成立しません。その結果、漏えいを正確に把握できない場合は、今でも一定期間ごとのパスワード変更を実施する必要があります。このように、人的・システム・運用面の制約が重なる企業では、「定期変更は不要」という考え方をそのまま適用することが難しい場合もあるのが実情です。

「なぜ今変えるのか」を明確化する ー ID・パスワード漏えい監視の導入

◎漏えいしたID・パスワードはどこで見つかるのか

侵害されたアカウントの情報は、次のような場所で売買・共有されています。
  • ダークウェブのフォーラム
  • ボットネット市場(※1)
  • Telegram などのクローズドチャネル
 
こうした外部の流通情報を把握できれば、観測された事実を根拠に、該当者への即時対応を促すことが可能になります。

◎企業ドメインを軸にした監視で分かること

監視の起点となるのは、自社ドメインのメールアドレスです。外部で「自社ドメイン+パスワード」の組み合わせが観測されたら、漏えいした可能性のある該当アカウントを特定できます。これにより、当人に通知し、認証情報の変更を指示できます。さらに、範囲を最小限にし、一斉変更による負荷や混乱を抑えられます。 
 
このような監視体制では、外部で自社ドメインの認証情報が流通しているかどうかを把握でき、どのアカウントが「安全ではなくなった可能性があるか」を把握できます。また、外部での流通が確認されたアカウントに対して、パスワード変更を指示したり、MFAの適用など追加の認証対策を組み合わせたりすることも可能です。

これにより、兆候の把握から実際の不正利用を防ぐ対応までを、一連の流れとして運用できます。

◎KELA (ケラ)によるダークウェブ監視という選択肢

電通総研が提供する KELA(ケラ) は、自社ドメインのID・パスワードなどの認証情報が外部で流通していないかを継続的に監視し、“兆候に応じて即時変更する” という運用を実現します。

【KELAの特徴】

  • ダークウェブ/ボットネット/クローズドチャネルの常時監視
  • 漏えいしたアカウント情報の検知と通知
  • SOAR(※2)等との連携によるパスワード変更やMFA強制の自動実行サポート
 
さらに、外部攻撃面の常時監視や脅威ハンティング、攻撃者プロファイルや動向把握など、脅威インテリジェンスソリューション(CTI:Cyber Threat Intelligence)(※3)として幅広く活用いただけます。このように、漏えいした認証情報を監視し、該当者へ迅速に通知することで、根拠に基づいた「即時変更」と、影響範囲を絞った「個別対応」が可能になります。
 
※1 ボットネット市場:
マルウェアに感染し遠隔操作可能となった多数のデバイス(PC、IoT、スマホ)の集合体(ボットネット)が、ダークウェブなどで売買・レンタルされる闇市場
 
※2 SOAR(Security Orchestration, Automation and Response):
多数のセキュリティツールからのアラートを集約し、定義した手順(プレイブック)に従って調査や対処を自動化するソリューション 
 
※3 脅威インテリジェンスCTI:Cyber Threat Intelligence:
ダークウェブや公開情報などを継続的に監視し、攻撃の兆候や自社に関するリスク情報を収集・分析し、対策につなげるための仕組み。単なる情報収集ではなく、「意思決定に活かせる脅威情報」を得ることが目的。

パスワード変更を“ルール順守”から“セキュリティ対策”へ

パスワード変更は、一定期間ごとに行うものではなく、明確な根拠に基づいて判断するものへと変わりつつあります。こうした背景を踏まえると、それは、定期的な一律変更は原則不要とし、流出や不正利用の疑いがある場合にのみ、即時変更するというものです。
 
そのために重要なのが、変更する理由を可視化することです。自社ドメインの認証情報が外部で観測された事実をもとに、該当者のみに通知し、必要なタイミングでパスワード変更を行う。こうした運用が実現できれば、パスワード変更は単なるルール順守ではなく、意味のあるセキュリティ対策になります。
 
その一つの手段として、電通総研が提供する「KELA」があります。 ダークウェブ等の継続監視から、アカウント単位でのアラート通知、対応までを一連で運用化することで、「いま根拠があるから変更する」という判断を現場で実現します。 
 
まずは、自社の運用が「根拠に基づいた変更」になっているか、一度見直してみてはいかがでしょうか。
 
参考:
CTA

関連記事

お問い合わせ
CTA