企業のパスワードポリシー策定ガイド——NIST・IPA推奨に基づく現代的な設計
企業向けパスワードポリシーの設計指針をNIST SP 800-63BとIPAガイドラインに基づいて解説。最低文字数・定期変更・ロックアウト設定の具体的な数値を紹介。
古いパスワードポリシーは逆効果になっている
「90日ごとに変更」「大文字・小文字・数字・記号を含む8文字以上」——これらのルールは2000年代に策定されたもので、現代の攻撃には対応できていないよ。NISTとIPAの最新ガイドラインに基づいて見直そう。
現代的なパスワードポリシーの設計原則
原則1:最低文字数は16文字以上
NIST SP 800-63Bでは最低8文字を規定しているが、現代の推奨は16文字以上だよ。ただし最大文字数の制限(例:12文字まで)は撤廃すべきで、NISTは最低64文字まで受け入れることを求めている。
原則2:複雑さルールより漏洩チェックを優先
パスワード設定時に「よく使われるパスワードリスト」「既知の漏洩パスワードリスト」との照合を行う方が、複雑さルールより実効性が高いよ。HaveIBeenPwnedのAPIを利用した照合が標準的な実装だ。
原則3:定期変更を強制しない
定期変更は「Tanaka2024April→Tanaka2024May」のような予測可能なパターンを生む。漏洩検知・疑わしいアクティビティを検知した際に変更を促す方式に変えよう。
原則4:ロックアウトより脅威検知
一定回数の失敗でロックアウトはDoS(嫌がらせロック)に悪用される。段階的な遅延(試行間隔を伸ばす)と異常検知を組み合わせる方が実用的だよ。
具体的なポリシー設定値
| 項目 | 旧来の設定 | 推奨設定(NIST準拠) |
|---|---|---|
| 最低文字数 | 8文字 | 16文字 |
| 最大文字数 | 制限あり | 最低64文字 |
| 複雑さルール | 大文字+記号必須 | 推奨のみ(強制しない) |
| 定期変更 | 90日 | 漏洩検知時のみ |
| 過去パスワード禁止 | 過去5回 | 過去24回 |
| ロックアウト | 5回失敗でロック | 段階的遅延 + 異常検知 |
多要素認証(MFA)の必須化
パスワードポリシーだけでは不十分で、全社員のMFA必須化が最も費用対効果の高いセキュリティ投資だよ。特に以下は最優先で対応しよう。
- VPN / リモートアクセス
- メールアカウント(Microsoft 365 / Google Workspace)
- 特権管理アカウント(管理者権限)
- HR・給与・経理システム
パスワードマネージャーの全社導入
個人任せのパスワード管理には限界がある。1PasswordビジネスプランやKeeperビジネスは管理コンソールから全社員のパスワード健全性を監視でき、ポリシーを強制できるよ。コストは1人月500〜700円程度で、インシデント対応コストと比べれば非常に安いね。
作ったパスワードは頭で覚えるのではなく、マネージャーに任せると安全です。 編集部がふだん使っているサービスをご紹介します。
洗練されたUI・Watchtower侵害通知・旅行モード搭載。Apple製品ユーザーに特に人気の老舗マネージャー。
オープンソースで透明性が高く、無料プランでも基本機能をフルに使える。セルフホストも可能。
SOC2 Type2認証取得済み。BreachWatch によるダークウェブ監視と法人向け管理コンソールが強力。
NordVPN 系列の老舗。XChaCha20 暗号化・データ漏洩スキャナ・パスワードヘルスを内蔵。日本語UI対応。
スイス拠点・Proton Mail 系列。E2E 暗号化・メールエイリアス・2FA を1つに統合。プライバシー重視派に。