Reference

安全なパスワード管理｜社員・職員全般の情報セキュリティ対策｜企業・組織の対策｜国民のための情報セキュリティサイト

利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。

これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所（NIST）からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです（※１）。また、日本においても、内閣サイバーセキュリティセンター（NISC）から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています（※２）。

（※１） NIST SP800-63B（電子的認証に関するガイドライン）

　　　　参考）

　　　　NIST SP 800-63-3の概要と今回の改訂がもたらす影響 - 一般財団法人日本情報経済社会推進協会（JIPDEC）

　　　　SP 800-63B「Authentication and Lifecycle Management（認証とライフサイクル管理）」概要
　63Bは、登録済みアカウントを利用してデジタル世界でのユーザ認証を行い、その結果の正しさを確認するプロセスについて記述されており、AuthenticatorタイプやAAL（Authenticator Assurance Level）が定義されている。
　今回の改訂で、ユーザ認証に使われる技術に関するNISTの見解が示されており、米国政府向けとは言いつつも、今後一般的なサービスにも影響が及ぶ可能性が一番高い部分になる。特にパスワードやPIN等ユーザが記憶する「記憶シークレット」については、今後パスワードからパスフレーズへの移行が意図されていたり、パスワードの定期変更の非推奨、秘密の質問の排除等が盛り込まれている。
　このほかにも、乱数表の使用方法が制限されたり、現時点では生体認証を利便性提供のための補助的な認証要素との位置づけられているなど、ID管理を含むサービス構築の際に考慮すべきポイントが見られる。
（※２） https://www.nisc.go.jp/security-site/handbook/index.html

　　　　インターネットの安全・安心ハンドブック[みんなでしっかりサイバーセキュリティ]

　　　　https://www.nisc.go.jp/security-site/files/handbook-03.pdf

パスワードの定期的な変更は本当に不要なのか - 情シス事情を知る | NECネクサソリューションズ

パスワードの定期的変更がセキュリティ対策として危険であることにGoogleとIPAは気づいている | まるおかディジタル株式会社 (maruoka-digital.jp)