はじめに

「パスワードは90日ごとに変更してください」——このメッセージを見たことがある方は多いでしょう。長年、パスワードの定期変更はセキュリティの基本とされてきました。しかし、この「常識」が今、大きく見直されています。

米国国立標準技術研究所（NIST）は最新のガイドラインで、パスワードの定期変更を原則として推奨しないと明言しました。さらに、元Yahoo・CISAアドバイザーのボブ・ロード氏らが立ち上げた「Stop Hacklore」キャンペーンでは、こうした時代遅れのセキュリティ神話に警鐘を鳴らしています。

本記事では、なぜパスワード定期変更が逆効果とされるようになったのか、そして本当に効果的なセキュリティ対策とは何かを解説します。

「Hacklore」とは何か——セキュリティの民間伝承

ハッキングとフォークロアの造語

「Hacklore（ハックロア）」とは、Hacking（ハッキング）とFolklore（民間伝承）を組み合わせた造語です。情報セキュリティに関する、根拠が不十分あるいは時代遅れになった安全神話や通説を指します。

ハックロアの問題点は、それを信じることでセキュリティリスクを実際には低減しない対策に時間や手間を費やしてしまうことです。その結果、本当に必要な対策がおろそかになり、かえってリスクが高まる可能性があります。

指摘されている6つの「神話」

2025年に公開された「Stop Hacklore」キャンペーンでは、以下の6つのアドバイスが時代遅れとして名指しされています。

1. 公共Wi-Fiを避けるべき - 現代の暗号化技術により、大規模な侵害は極めてまれ
2. QRコードをスキャンするな - 正規のQRコード自体に危険はない
3. 公共のUSBポートで充電するな - いわゆる「ジュースジャッキング」の実例は限定的
4. Bluetooth・NFCは常にオフに - 現代のプロトコルは十分なセキュリティを持つ
5. Cookieを定期的に削除せよ - セキュリティ向上への効果は限定的
6. パスワードを定期的に変更せよ - むしろ弱いパスワードを生む原因に

これらのキャンペーンには、Google、Microsoft、GitHub、Yahooなど大手企業のCISO（最高情報セキュリティ責任者）や元CISOが賛同しています。

NISTガイドラインが示す「新常識」

定期変更が推奨されなくなった理由

NISTの「Special Publication 800-63B」では、パスワードの定期的な変更を要求してはならないと明記されています。その理由は明確です。

定期的な変更を強制されると、ユーザーは予測しやすいパターンで対応する傾向があります。「Password1」を「Password2」に変える、「Summer2025」を「Fall2025」に変えるといった具合です。このパターン化は、プロのハッカーにとっては容易に予測できるものです。

また、頻繁な変更を求められると、ユーザーは覚えやすい弱いパスワードを選びがちになります。結果として、定期変更の要求はセキュリティを高めるどころか、むしろ低下させる要因となっていたのです。

新ガイドラインの3つのポイント

NISTの最新ガイドラインでは、以下の方針が示されています。

1. 長さを重視する

パスワードの強度において最も重要な要素は「長さ」です。NISTは最低15文字以上を推奨しており、多要素認証と併用する場合でも最低8文字が必要とされています。「複雑だが短い」パスワードより、「シンプルだが長い」パスワードの方が安全性が高いのです。

2. 複雑性ルールの廃止

「大文字・小文字・数字・記号を必ず含める」というルールも見直されています。このルールは「P@ssw0rd!」のような予測可能なパスワードを生み出す原因となっていました。複雑さを要求されたユーザーは、極めて予測しやすい方法で対応することが研究で明らかになっています。

3. 変更は侵害時のみ

パスワードの変更が必要なのは、セキュリティ侵害の証拠が確認された場合のみです。定期的なスケジュールでの変更ではなく、実際のリスクに基づいた対応が求められています。

本当に効果的なセキュリティ対策

4つの基本対策

「Stop Hacklore」キャンペーンでは、一般ユーザー向けに本当に効果的な4つの対策を提唱しています。

1. デバイスとアプリを最新の状態に保つ

OSやアプリケーションのアップデートには、セキュリティの脆弱性を修正するパッチが含まれています。自動更新を有効にし、常に最新の状態を維持することが重要です。

2. 多要素認証（MFA）を有効にする

パスワードだけでなく、スマートフォンへの通知や生体認証など、複数の認証要素を組み合わせることで、アカウントの安全性は大幅に向上します。金融庁も2020年に金融機関への多要素認証導入を義務付ける方針を発表しています。

3. 強力なパスフレーズを使用する

短く複雑なパスワードより、長くて覚えやすい「パスフレーズ」が推奨されています。たとえば「正しい馬バッテリーホチキス」のような、無関係な単語の組み合わせは、長さがあり覚えやすく、推測も困難です。

4. パスワードマネージャーを使用する

各サービスで異なる強力なパスワードを使い分けるには、パスワードマネージャーが不可欠です。1Passwordや Bitwarden、Keeperなどのツールを活用することで、安全性と利便性を両立できます。

多要素認証の重要性が増している

総務省の「令和5年版情報通信白書」によれば、2015年から2022年にかけてサイバー攻撃関連の通信量は約8倍に増加しています。不正アクセスの認知件数も年々増加傾向にあり、パスワードだけでは防御が困難な状況です。

多要素認証は「知識要素」（パスワード）、「所持要素」（スマートフォン）、「生体要素」（指紋・顔認証）を組み合わせることで、たとえパスワードが漏洩しても、アカウントの乗っ取りを防ぐことができます。

VPNとゼロトラストの未来

VPN神話の終焉

「公共Wi-Fiは危険だからVPNを使え」というアドバイスも、見直しが進んでいます。現代のWebサイトはほとんどがHTTPSで暗号化されており、OSやブラウザも信頼できない接続について警告を出すようになっています。

また、セキュリティ企業ゼットスケーラーは、2026年末までに大企業を中心に「VPN時代の事実上の終焉」が訪れると予測しています。調査では、組織の81%が2026年までにゼロトラストの実践を計画していることが明らかになりました。

ゼロトラストへの移行

VPNに代わる新しいセキュリティモデルとして「ゼロトラスト」が注目されています。これは「信頼せず、常に検証する」という原則に基づき、ネットワークの内外を問わず、すべてのアクセスを検証するアプローチです。

2026年は、暗号化通信の可視化と検査、IDと通信内容の常時検証、高リスクセッションの隔離など、より高度なセキュリティ対策が求められる年になると専門家は指摘しています。

日本での対応状況

総務省のガイドライン改訂

日本でも対応が進んでいます。総務省の「国民のためのサイバーセキュリティサイト」は2024年5月にリニューアルされ、「パスワードの定期的な変更は不要」と明記されるようになりました。

ただし、すべての組織がこの新しい方針に追いついているわけではありません。依然として90日ごとのパスワード変更を要求するシステムも存在します。セキュリティ担当者は、最新のガイドラインに基づいてポリシーを見直す必要があるでしょう。

企業が取るべきアクション

企業のセキュリティ担当者は、以下の点を検討すべきです。

• パスワードポリシーの見直し（定期変更の廃止、最低文字数の引き上げ）
• 多要素認証の全社導入
• パスワードマネージャーの支給・推奨
• 漏洩パスワードのリアルタイムチェック機能の導入
• 従業員へのセキュリティ教育の更新

まとめ

パスワードの定期変更は、かつては「常識」とされていましたが、NISTの最新ガイドラインや「Stop Hacklore」キャンペーンにより、その有効性が否定されています。定期変更を強制することで、かえって予測可能な弱いパスワードを生み出すリスクがあるためです。

本当に効果的なセキュリティ対策は、長いパスフレーズの使用、多要素認証の有効化、パスワードマネージャーの活用、そしてデバイスを最新の状態に保つことです。

セキュリティの「常識」は時代とともに変化します。古い神話にとらわれず、最新のエビデンスに基づいた対策を講じることが、真の安全につながります。

参考資料:

• NISTが示す「新しいパスワードの常識」
• NIST Special Publication 800-63B
• Stop Hackloreキャンペーン解説（GIGAZINE）
• 専門家が斬る時代遅れのセキュリティー神話
• 多要素認証でパスワードリスト攻撃を無力化する方法
• 大企業で「VPN時代が事実上、終焉」する2026年