「定期的なパスワードの変更」基本的に不要！理由と管理方法を紹介

「不正アクセスなどの対策として、パスワードって定期的に変更しないといけないの？」
インターネットを使用していると、パスワードの管理方法について悩むときがあるのではないでしょうか。
「パスワードを変更してください」と定期的に表示されるけれど、毎回しなければならないのでしょうか？
結論から言えば、次のような場合はパスワードの変更は不要です。
「安全なパスワード」のガイドラインに従ってパスワードを管理している
情報漏えいなどの事実がない
「えっ？」と思われるかもしれませんが、これには明確な根拠があります。
そのため、今回はITパスポートの資格を所有し、現在セキュリティ案件を中心に執筆している私が、パスワードについて簡単にまとめます。
「安全なパスワード」がどのようなものか知りたい方は、こちらをご覧ください。
<img alt="安全なパスワード管理｜社員・職員全般の情報セキュリティ対策｜企業・組織の対策｜国民のための情報セキュリティサイト" src="https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/img/ill01_01.jpg" decoding="async" data-nimg="intrinsic" style="position:absolute;top:0;left:0;bottom:0;right:0;box-sizing:border-box;padding:0;border:none;margin:auto;display:block;width:0;height:0;min-width:100%;max-width:100%;min-height:100%;max-height:100%;object-fit:cover" class="css-lhab8r" loading="lazy"/>安全なパスワード管理｜社員・職員全般の情報セキュリティ対策｜企業・組織の対策｜国民のための情報セキュリティサイト企業・組織における パスワードは、 ユーザ名と組み合わせることで企業・組織内の 情報資産へのアクセスの可否を決める重要なものです。 パスワードの重要性を再認識して、適切な パスワード 管理を心がけましょう。 他人に自分の ユーザアカウントを不正に利用されないようにするには、推測されにくい安全な パスワード を作成し、他人の目に触れないよう適切な方法で保管することが大切です。 安全な ... www.soumu.go.jp
パスワードの変更が不要な理由
基本的にパスワードの変更が不要な理由は、「人はパスワードを記憶するのが苦手」だからです。
その結果、次のようなことが発生します。
パスワードを紙に書いて保管する
パスワードを使い回す
スマホなどのメモ帳で管理する
この管理方法は、安全なパスワードに従ってパスワードを作成しても、情報漏えいなどのリスクを自ら高める結果となってしまいます。
なぜ、この方法が危険なのかもう少し掘り下げます。
パスワードの変更が不要な理由については総務省からも発表がありますので、こちらもぜひ参考にしてください。
<img alt="設定と管理のあり方｜IDとパスワード｜どんな危険があるの？｜基礎知識｜国民のための情報セキュリティサイト" src="https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/privacy/img/ill01_2_01.jpg" decoding="async" data-nimg="intrinsic" style="position:absolute;top:0;left:0;bottom:0;right:0;box-sizing:border-box;padding:0;border:none;margin:auto;display:block;width:0;height:0;min-width:100%;max-width:100%;min-height:100%;max-height:100%;object-fit:cover" class="css-lhab8r" loading="lazy"/>設定と管理のあり方｜IDとパスワード｜どんな危険があるの？｜基礎知識｜国民のための情報セキュリティサイト他人に自分の ユーザアカウントを不正に利用されないようにするには、適切な パスワード の設定と管理が大切です。 適切な パスワード の設定・管理には、以下の3つの要素があります。 安全な パスワード とは、他人に推測されにくく、ツールなどで割り出しにくいものを言います。 (1) 名前などの個人情報からは推測できないこと (2) 英単語などをそのまま使用していないこと (3) アルファベットと数字が混在していること (4) 適切な長さの文字列であること (5) 類推しやすい並び方やその安易な組合せにしないこと 逆に、危険な パスワードとしては、以下のようなものがあります。このような危険な パスワード が使われていないかどうか、チェックをするようにしましょう。 (1) 自分や家族の名前、ペットの名前 yamada、tanaka、taro、hanako（名前） 19960628、h020315（生年月日） tokyo、kasumigaseki（住所） 3470、1297（車のナンバー） ruby、koro（ペットの名前） (2) 辞書に載っているような一般的な英単語 password、baseball、soccer、monkey、dragon (3) 同じ文字の繰り返しやわかりやすい並びの文字列 aaaa、0000（同じ文字の組み合わせ） abcd、123456、200、abc123（安易な数字や英文字の並び） asdf、qwerty（キーボードの配列） この他、電話番号や郵便番号、生年月日、社員コードなど、他人から類推しやすい情報やユーザ ID と同じものなどは避けましょう。 せっかく安全な パスワードを設定しても、 パスワードが他人に漏れてしまえば意味がありません。以下が、 パスワード の保管に関して特に留意が必要なものです。 パスワードは、同僚などに教えないで、秘密にすること パスワードを電子メールでやりとりしないこと パスワードのメモをディスプレイなど他人の目に触れる場所に貼ったりしないこと やむを得ずパスワードをメモなどで記載した場合は、鍵のかかる机や金庫など安全な方法で保管すること また パスワードはできる限り、複数のサービスで使い回さないようにしましょう。あるサービスから流出した アカウント情報を使って、他のサービスへの不正 ログインを試す攻撃の手口が知られています。もし重要情報を利用しているサービスで、他のサービスからの使い回しの パスワードを利用していた場合、他のサービスから何らかの原因で パスワード が漏洩してしまえば、第三者に重要情報にアクセスされてしまう可能性があります。 なお、利用するサービスによっては、 パスワードを定期的に変更することを求められることもありますが、実際に パスワードを破られ アカウントが乗っ取られたり、サービス側から流出した事実がなければ、 パスワードを変更する必要はありません。むしろ定期的な変更をすることで、 パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有の パスワード を設定することが求められます。 これまでは、 パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所（NIST）からガイドラインとして、サービスを提供する側が パスワードの定期的な変更を要求すべきではない旨が示されたところです（※１）。また、日本においても、内閣サイバーセキュリティセンター（NISC）から、 パスワード を定期変更する必要はなく、流出時に速やかに変更する旨が示されています（※２）。 生体認証（ バイオメトリクス認証）とは、 IDと パスワードの代わりに、身体的または行動的特徴を用いて個人を識別し認証する技術です。 生体認証に用いられる身体的な特徴として、指紋、顔、静脈、虹彩(瞳孔周辺の渦巻き状の文様)などが、行動的特徴として、声紋(音声)、署名(手書きのサイン)などがあります。 生体認証は、広く個人認証として用いられている パスワードによる認証や ICカードによる認証と比較して、 パスワードの記憶や ICカードの管理が不要なため利便性が高く、また、記憶忘れや紛失によるトラブルもないという長所があります。 その一方で、 生体認証 ... www.soumu.go.jp

パスワードを紙に書いて保管する
パスワードを紙に書いて保管するのは、非常に危険な行為です。
不正アクセスや情報漏えいのリスクを自ら高めてしまいます。
たとえば、パスワードを変更するたびにメモ帳などに書いて持ち歩いたり、付せん紙に書いてPCに貼っていたりしていませんか？
「家だからいいや」とPCに付せん紙でパスワードを貼り付けていると、家族が簡単にアクセスできる状況が生まれます。
また、メモ帳などパスワードを書き出した場合は、紛失しないように肌身離さず持ち歩かないといけません。
「家に保管しておけば大丈夫」と思われるかもしれませんが、不在中に家族がパスワードを入手している可能性があるからです。
このように、パスワードをメモに書いて保管するのは気を遣うことにもなるので、控えた方が良いでしょう。
パスワードを使い回す
「パスワードを覚えられない」と、複数のサイトでパスワードを使い回すのも危険な行為です。
なぜなら、1つのサイトでIDやパスワードが流出した場合、複数のサイトで不正アクセスされる可能性があるからです。
IDやパスワードは、それぞれのサイトで違うものを使用しましょう。
さらに、定期的にパスワードを変更しているとますます覚えられなくなり、パスワードの使い回しが発生しやすくなります。
そのため、パスワードの定期的な変更はリスクが高いとされています。
スマホなどのメモ帳で管理する
スマホなどのメモ帳でパスワードを管理すると、紛失したときにIDやパスワードが一気に流出する可能性があります。
スマホやPCに顔認証などのロックをかけていても、セキュリティは完璧とは言えません。
また、何らかの理由で不正アクセスされた場合に、PCやスマホ内の情報が盗まれる危険もあります。
パスワードを定期的に変更していると、「とりあえずメモ帳に残しておこう」とメモをして、そのまま管理するケースも多くなるのではないでしょうか。
メモ帳にパスワードが記録されている場合は、別の管理方法をおすすめします。
パスワードの管理方法おすすめ
パスワードを管理するためにおすすめの方法を紹介します。
パスワードマネージャーを使う
 Google Chromeなどに搭載されているパスワードマネージャーは、パスワードを管理するのにおすすめです。
パスワードを覚えなくてもブラウザが記録しているので、今までログインしたサイトやサービスをそのまま使用できます。
ただし、パスワードマネージャーを使用してパスワードを管理する場合は、Googleアカウントなどのアカウント管理に注意しなければなりません。
なぜなら、Googleアカウントが乗っ取られた場合は、登録すべてのサイトに簡単にアクセスされてしまうからです。
パスワードマネージャーを使用する場合は、Googleアカウントに多要素認証（ワンタイムパスワードなど）を適用するなどの対策をしましょう。
パスワード管理ツールを使用する
パスワード管理ツールを使用するのも、パスワードの管理におすすめの方法です。
実際に、私は「SafeinCloud」を使用しています。
「SafeinCloud」は、IDやパスワードを暗号化して保管できるパスワード管理ツールです。
iOS
<img alt="‎SafeInCloud" src="https://is4-ssl.mzstatic.com/image/thumb/Purple122/v4/5c/99/23/5c992312-8f77-a461-3463-b13336860cb8/AppIcon.Free-0-0-1x_U007emarketing-0-0-0-5-0-0-sRGB-0-0-0-GLES2_U002c0-512MB-85-220-0-0.png/1200x630wa.png" decoding="async" data-nimg="intrinsic" style="position:absolute;top:0;left:0;bottom:0;right:0;box-sizing:border-box;padding:0;border:none;margin:auto;display:block;width:0;height:0;min-width:100%;max-width:100%;min-height:100%;max-height:100%;object-fit:cover" class="css-lhab8r" loading="lazy"/>‎SafeInCloudSafeInCloudパスワードマネージャーは暗号化されたデータベースに安全にログインID、パスワードや個人情報を保存することが出来ます。また自分のクラウドアカウントを使用し他のスマートフォン、タブレット、PCと同期することが出来ます。 プロ機能は全て2週間の体験版で、アプリ内購入で一度買えば全ての機能が使用可能になります。月額料も一切なし！ 主要な機能◆ 使いやすい◆ 強力な暗号化 (256-bit Advanced Encryption Standard)◆ クラウド同期 (iCloud, Google Drive, Dropbox, OneDrive, NAS, WebDAV)◆ Touch IDによるログイン & Face ID◆ アプリ内自動入力◆ Apple Watch用アプリ◆ パスワード強度の解析◆ パスワード生成◆ 無料のデスクトップアプリ (Windows, Mac)◆ 自動データインポート◆ クロスプラットフォーム 簡単に使用可能楽しく使いやすいユーザーインターフェースを実際に体験してみてください。 強力な暗号化デバイスやクラウドのデータは常に強力なAES-256bitで暗号化されます。これはアメリカ政府でトップシークレットの情報を保護するために使用され、世界中で事実上の標準暗号化技術として使用されています。 クラウド同期データベースは自動でクラウドサービスに同期され、それによりデータを失ったりアップグレードした時でも簡単に新しいコンピューターやスマートフォンに復元することが出来ます。またクラウド経由でスマートフォン、タブレット、コンピューター同士でも自動的に同期されます。 TOUCH IDでログイン & FACE IDTouch IDのあるデバイスでは指紋を使用し即座にSafeInCloudのロックを解除することが出来ます。 Face IDテクノロジーの顔認証を使用してSafeInCloudのロックを解除することもできます。 アプリ内自動入力SafeInCloudのログインとパスワードをお持ちの端末のどのアプリにも直接自動入力できます。手動でコピーペーストする必要はありません。 APPLE WATCH用アプリ急いでいる時でも手首から、クレジットカードの暗証番号やドアやロッカーの番号など、あらかじめ選んでおいたカードに簡単にアクセス出来ます。 パスワード強度の解析SafeInCloudは各パスワードの強度を解析し表示することが出来ます。強度解析では推定ハッキング時間を表示し、またカードに保存されたパスワードが弱ければ赤いサインが表示されます。 パスワード生成パスワード生成機能(ジェネレーター)はランダムで安全なパスワードを簡単に生成することが出来ます。また英単語を使用した覚えやすく、かつ強いパスワードを生成することも可能です。 無料のデスクトップアプリコンピュータ上でデータベースにアクセスできるようにwww.safe-in-cloud.comからWindowsやMac OS用の無料のデスクトップアプリをダウンロードしましょう。またデスクトップアプリはハードウェアキーボードを使用し素早くデータを入力したり編集したり出来ます。 自動データインポートデスクトップアプリは他のパスワードマネージャーからデータを自動でインポートすることが出来ます。手動で全てのパスワードを入力する必要はありません。 What's new:◆ Critical memory bug fixIf you have questions, suggestions or problems, please contact support@safe-in-cloud.com.If you like SafeInCloud, please leave a nice review at the store. apps.apple.com
Android
 play.google.com
Windows
<img alt="Get パスワード マネージャー SafeInCloud from the Microsoft Store" src="http://store-images.s-microsoft.com/image/apps.24951.13702972132039124.5bca41e9-5199-4187-84b0-0ee2380b197e.ec9b1d02-8514-4827-895d-a621e75f8faa" decoding="async" data-nimg="intrinsic" style="position:absolute;top:0;left:0;bottom:0;right:0;box-sizing:border-box;padding:0;border:none;margin:auto;display:block;width:0;height:0;min-width:100%;max-width:100%;min-height:100%;max-height:100%;object-fit:cover" class="css-lhab8r" loading="lazy"/>Get パスワード マネージャー SafeInCloud from the Microsoft StoreSafeInCloudパスワードマネージャーは暗号化されたデータベースに安全にログインID、パスワードや個人情報を保存することが出来ます。また自分のクラウドアカウントを使用し他のスマートフォン、タブレット、PCと同期することが出来ます。 主要な機能 ◆ 使いやすい ◆ 強力な暗号化 (256-bit Advanced Encryption Standard) ◆ クラウド同期 (Google Drive, Dropbox, OneDrive, NAS, ownCloud, WebDAV) ◆ パスワード強度の解析 ◆ パスワード生成 ◆ Windows Helloを使ったログイン ◆ ブラウザ拡張機能 ◆ 自動データインポート ◆ クロスプラットフォーム 簡単に使用可能 楽しく使いやすいユーザーインターフェースを実際に体験してみてください。 強力な暗号化 デバイスやクラウドのデータは常に強力なAES-256bitで暗号化されます。これはアメリカ政府でトップシークレットの情報を保護するために使用され、世界中で事実上の標準暗号化技術として使用されています。 クラウド同期 データベースは自動でクラウドサービス(Google Drive, Dropbox, OneDrive, Yandex Disk, NAS, ownCloud, WebDAV)に同期され、それによりデータを失ったりアップグレードした時でも簡単に新しいコンピューターやスマートフォンに復元することが出来ます。またクラウド経由でスマートフォン、タブレット、コンピューター同士でも自動的に同期されます。 パスワード強度の解析 SafeInCloudは各パスワードの強度を解析し表示することが出来ます。強度解析では推定ハッキング時間を表示し、またカードに保存されたパスワードが弱ければ赤いサインが表示されます。 パスワード生成 パスワード生成機能(ジェネレーター)はランダムで安全なパスワードを簡単に生成することが出来ます。また英単語を使用した覚えやすく、かつ強いパスワードを生成することも可能です。 ブラウザ拡張機能 デスクトップアプリはブラウザ拡張機能と連携し、ウェブサイトに直接パスワードを貼り付けることが出来ます。SafeInCloudからブラウザに手動でコピー・ペーストする必要はありません。 自動データインポート デスクトップアプリは他のパスワードマネージャーからデータを自動でインポートすることが出来ます。手動で全てのパスワードを入力する必要はありません。 apps.microsoft.com
Mac
<img alt="‎SafeInCloud パスワード マネージャー" src="https://is2-ssl.mzstatic.com/image/thumb/Purple122/v4/41/2e/89/412e892a-4085-6535-2caa-4d6d15da9606/AppIcon-0-0-85-220-0-0-0-0-4-0-0-0-2x-sRGB-0-0-0-0-0.png/1200x630bb.png" decoding="async" data-nimg="intrinsic" style="position:absolute;top:0;left:0;bottom:0;right:0;box-sizing:border-box;padding:0;border:none;margin:auto;display:block;width:0;height:0;min-width:100%;max-width:100%;min-height:100%;max-height:100%;object-fit:cover" class="css-lhab8r" loading="lazy"/>‎SafeInCloud パスワード マネージャースクリーンショット SafeInCloudパスワードマネージャーは暗号化されたデータベースに安全にログインID、パスワードや個人情報を保存することが出来ます。また自分のクラウドアカウントを使用し他のスマートフォン、タブレット、PCと同期することが出来ます。 主要な機能◆ 使いやすい◆ 強力な暗号化 (256-bit Advanced Encryption Standard)◆ クラウド同期 (iCloud, Google Drive, Dropbox, OneDrive, NAS, WebDAV)◆ Touch IDによるログイン◆ パスワード強度の解析◆ パスワード生成◆ ブラウザ拡張機能◆ 自動データインポート◆ クロスプラットフォーム 簡単に使用可能楽しく使いやすいユーザーインターフェースを実際に体験してみてください。 強力な暗号化デバイスやクラウドのデータは常に強力なAES-256bitで暗号化されます。これはアメリカ政府でトップシークレットの情報を保護するために使用され、世界中で事実上の標準暗号化技術として使用されています。 クラウド同期データベースは自動でクラウドサービスに同期され、それによりデータを失ったりアップグレードした時でも簡単に新しいコンピューターやスマートフォンに復元することが出来ます。またクラウド経由でスマートフォン、タブレット、コンピューター同士でも自動的に同期されます。 TOUCH IDでログインTouch IDのあるデバイスでは指紋を使用し即座にSafeInCloudのロックを解除することが出来ます。 パスワード強度の解析SafeInCloudは各パスワードの強度を解析し表示することが出来ます。強度解析では推定ハッキング時間を表示し、またカードに保存されたパスワードが弱ければ赤いサインが表示されます。 パスワード生成パスワード生成機能(ジェネレーター)はランダムで安全なパスワードを簡単に生成することが出来ます。また英単語を使用した覚えやすく、かつ強いパスワードを生成することも可能です。 ブラウザ拡張機能デスクトップアプリはブラウザ拡張機能と連携し、ウェブサイトに直接パスワードを貼り付けることが出来ます。SafeInCloudからブラウザに手動でコピー・ペーストする必要はありません。 自動データインポートデスクトップアプリは他のパスワードマネージャーからデータを自動でインポートすることが出来ます。手動で全てのパスワードを入力する必要はありません。 Attention: Close Safari browser before updating SafeInCloud.What's new:◆ Critical memory bug fixIf you have questions, suggestions or problems, please contact support@safe-in-cloud.com.If you like SafeInCloud, please leave a nice review at the store. apps.apple.com
「SafeinCloud」は、PCとスマホの同期やブラウザとの連携も可能です。
さらに、免許証の写真なども保管できます。
IDやパスワードをデバイスで保管するのが危険な理由は、平文（誰でも見られる状態）で保管されているからです。
その点、「SafeinCloud」はIDやパスワードなどを暗号化して保管しているため、安全性は高いと言えます。
さまざまな個人情報をPCやスマホで保管したい、パスワードマネージャーを使うのが不安な方は、「SafeinCloud」を検討してみてはいかがでしょうか。
まとめ：パスワードを定期的に変更する方がリスクが高い
IDやパスワードは、情報漏えいや使い回しなどの事実がなければ定期的に変更する必要はありません。
それどころか、定期的に変更した方がリスクが高まります。
パスワードは、総務省の「安全なパスワードの設定」に従って作成・管理しましょう。
パスワードの管理には、パスワードマネージャーやパスワード管理ツールの使用がおすすめです。
IDやパスワードを管理したいか、その他に管理したいものがあるのかを見極めて、ツールを選択しましょう。
正しい方法でパスワードの作成や管理をすると、セキュリティ強化にも繋がります。
「定期的なパスワードの変更」基本的に不要！理由と管理方法を紹介

パスワードの変更が不要な理由

パスワードを紙に書いて保管する

パスワードを使い回す

スマホなどのメモ帳で管理する

パスワードの管理方法おすすめ

パスワードマネージャーを使う

パスワード管理ツールを使用する

まとめ：パスワードを定期的に変更する方がリスクが高い

匿名で質問やリクエストを送る
