LoginSignup
5
5

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

100万記事ありがとう!2025年もたくさんアウトプットしよう
@sigma_devsecopsin株式会社野村総合研究所

パスワードの定期的な変更を強制された際に反論する材料

Last updated at Posted at 2025-01-21

これは何?

パスワードの変更は良くないよと言っている公式ドキュメントを集めました。
万が一,所属する組織がパスワードの変更を強制してきた際にはこの記事に貼ってあるドキュメントを盾に抵抗しましょう笑

※パスワードのローテーションにも良い面がないわけではないです。

パスワードの定期的な変更を推奨しないガイドライン

  • NISC インターネットの安全・安心ハンドブック

    1.8 パスワードの定期変更は基本は必要なし。ただし流出時は速やかに変更する

    利用するサービスによっては、パスワードを定期的に変更すること求められることがあります。しかし、前出のように十分に複雑で使い回しのないパスワードを設定した上で、実際にパスワードを破られアカウントを乗っ取られたり、サービス側から流出したりした事実がないのならば、基本的にパスワードを変更する必要はありません。 むしろ、パスワードの基準を定めず、定期的な変更のみを要求することで、パスワードが単純化したり、ワンパターン化したり、サービス間で使い回しするようになることの方が問題となります。 一方、アカウントが乗っ取られたり、流出の事実を知った場合は速やかにパスワードを変更し,その原因も特定しましょう。

  • NIST Special Publication 800-63B

    5.1.1.2 Memorized Secret Verifiers
    Verifiers SHOULD NOT impose other composition rules (e.g., requiring mixtures of different character types or prohibiting consecutively repeated characters) for memorized secrets. Verifiers SHOULD NOT require memorized secrets to be changed arbitrarily (e.g., periodically). However, verifiers SHALL force a change if there is evidence of compromise of the authenticator.

  • 政府情報システムの情報セキュリティ対策のための統一基準(令和6年度版)

    基本対策事項 7.1.1(1)-5「利用者に主体認証情報の定期的な変更を求める場合」について
    定期的な変更を促すことについて、「利用者に主体認証情報の定期的な変更を求める場合には」と改めて適用する場面を限定しているのは、生体情報のように利用者本人でも変更が不可能なものも主体認証情報に含まれていることが理由の一つであるが、これに限られず、主体認証情報がパスワードである場合に、その変更を強制することが用者の利便性を低下させ、利用者が強度の低い安易なパスワードを設定しやすくなるなど、結果的に主体認証機能の安全性を低下させる懸念が想定されることを踏まえて、定期的な変更が真に必要である場合に限り適用すべき基本対策事項であることを示す趣旨である。

    パスワードを変更する目的は、パスワードを他の主体に不正に利用されることを未然に防止することにあるが、どの程度の頻度で定期的に変更すればこれを防止するだけの意義を果たすと言えるのかは一概に言うことはできない。例えば、利用者がパスワードを入力する様子を背後から盗み見られる事態を想定して、その不正利用を確実に防止するためにパスワードの定期的な変更を求めるのであれば、変更は毎日必要となり、現実的でない。一定の不正利用はやむを得ないとしつつ、長期間にわたって不正利用され続けることを防止することを目的とするのであれば、例えば、半年に 1 度の定期的な変更を求めている場合は、平均して 3 か月間の不正利用を許すことになる。許容できる不正利用の平均継続期間を 1 週間と想定した場合には、2 週間に 1 度の変更が必要となり、これも現実的でない場合が多いと考えられる。このような目的では他の対策を講じることの方が効果的である場合があり、そのような場合にはその対策の採用を検討するべきである。

パスワードの定期的な変更を推奨しているガイドライン

  • PCIDSS 4.0

    Defined Approach Requirements
    8.3.9 If passwords/passphrases are used as the only authentication factor for user access (i.e., in any single-factor authentication implementation)
    then either:
    • Passwords/passphrases are changed at least once every 90 days,
    OR
    • The security posture of accounts is dynamically analyzed, and real-time access to resources is automatically determined accordingly

    90日に1回の変更もしくは,アカウントのセキュリティ状態が動的に分析され、それに応じてリソースへのリアルタイムのアクセスの可否が決定される仕組みを持つのどちらかが必要になります。

他にチェックしたガイドライン等

チェック未実施

5
5
1

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
5
5

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?