「パスワードは定期的に変えなさい」——多くのIT部門がこの方針を長年にわたって守ってきました。
90日ごと、あるいは3ヶ月ごとの強制変更は、かつてセキュリティのベストプラクティスとして広く普及していました。
しかし現在、
Microsoftはクラウドアカウントに対する定期的なパスワード変更を推奨しておらず、「パスワードを期限切れにしない(推奨)」という方針を示しています。
Microsoft 365管理センターの「パスワードの有効期限ポリシー」を開くと、そこには「パスワードを期限切れにしない(推奨)」という文言が添えられています。
これは一体どういう意味なのか?
なぜ「変えない」ほうが安全なのか?
そして、無期限化した上で何を組み合わせるべきなのか——
本記事ではそのロジックを徹底的に解説します。
なお、本記事の内容は主に「クラウド専用ユーザー(Microsoft Entra IDで管理されるユーザー)」を前提としています。
オンプレミスActive Directoryと同期しているハイブリッド環境では、オンプレミス側のパスワード有効期限ポリシーの影響を受けるため、別途設計が必要です。
「パスワードの有効期限ポリシー」の場所と仕様
設定場所
Microsoft 365管理センター(https://admin.microsoft.com)から以下の手順で設定できます。
設定 > 組織設定 > [セキュリティとプライバシー] タブ > パスワードの有効期限ポリシー
ここには2つの選択肢があります。
| 設定 | 内容 |
|---|---|
| パスワードを期限切れにしない(推奨) | ユーザーのパスワードは無期限に有効 |
| 指定した日数後にパスワードを期限切れにする | 14〜730日の範囲で設定可能 |
デフォルト設定の変遷
重要なポイントとして、
以前は多くのMicrosoft 365テナントで90日間のパスワード有効期限が既定値として利用されていましたが、現在の新規テナントでは「パスワードを期限切れにしない(推奨)」が既定となっています。
古いテナントでは、過去の設定が残っている場合があるため確認を推奨します。
新規テナントではデフォルトが「無期限(推奨)」になっています。
古いテナントを利用している場合、意図せず90日の強制変更が有効になっている可能性があるため、一度確認することをお勧めします。
なぜ「90日ごとの強制変更」が逆効果なのか
人間の行動パターンという落とし穴
この点についてはっきりとした見解が示されています。
「調査によると、ユーザーに課すほぼすべてのルールによってパスワードの品質が低下します。長さの要件、特殊文字の要件、パスワード変更の要件はすべて、パスワードを正規化することになるため、攻撃者はパスワードを簡単に推測したり、解読したりすることができるようになります。」
これが意味するのは、
制約を厳しくすればするほど、ユーザーは予測可能なパターンに頼るようになるということです。
「強制変更」が生み出す典型的なパスワードパターン
90日ごとの変更を義務付けられたユーザーは、現実的にどんなパスワードを作るでしょうか?
1月: Password1! 4月: Password2! 7月: Password3! 10月: Password4!
または:
Spring2024! Summer2024! Autumn2024! Winter2024!
これらは「ルールを満たしている」ように見えますが、実際には攻撃者が1つのパスワードを入手した瞬間、次のパスワードを推測するのは容易です。
定期変更のルールが、パスワードの「パターン化」を促進してしまっているのです。
Microsoft自身のデータが示すこと
Microsoftが毎日何億もものパスワードベースの攻撃を防いでいる実態から得られた知見として、以下のことが述べられています。
「パスワードの複雑さや定期変更だけでは十分な防御にならない」
「Microsoftは、MFAの利用によりアカウント侵害の大部分を防止できると説明しており、各種資料では99.9%以上の攻撃を防げるという数値も紹介されています。」
つまり、
パスワードそのものの複雑さや定期変更よりも、MFA(多要素認証)の導入のほうが圧倒的に効果的であることが、実データによって裏付けられています。
参考: パスワード ポリシーの推奨事項
「パスワードで攻撃は防げない」という現実
現代の主要な攻撃手法
パスワードを変更しても、実は防げない攻撃が大半を占めています。
| 攻撃手法 | 概要 | パスワード変更の効果 |
|---|---|---|
| フィッシング | 偽サイトで認証情報を詐取 | ほぼゼロ |
| クレデンシャルスタッフィング | 漏洩したリストで他サービスにログイン試行 | 低い(漏洩後すぐ使われるため) |
| パスワードスプレー | よく使われるパスワードを大量アカウントに試行 | 低い |
| MFA疲労攻撃(MFA Fatigue) | MFA承認を何度も送りつけてユーザーを疲弊させる | 限定的(一時的に止まるが根本解決ではない) |
| トークン窃取 | 認証済みセッショントークンを盗む | 無関係 |
特にフィッシング攻撃の場合、どんなに複雑で長いパスワードでも、ユーザーが偽サイトに入力してしまえば即座に攻撃者の手に渡ります。
パスワードの「強度」は関係ありません。
「MFAが効果を発揮するにはレガシー認証もブロックすることが重要です。POP、SMTP、IMAPなどのレガシー認証プロトコルはMFAを強制することができないため、組織を狙う攻撃者にとって都合のいい侵入口になってしまうからです。」
「無期限化」した上で組み合わせるべき3つの仕組み
パスワードを無期限にするだけでは不十分です。
Microsoftが推奨するのは、「パスワード依存を減らし、別の仕組みでリスクを検知・防御する」というアプローチです。
仕組み1:多要素認証(MFA)の全社展開
最も重要な対策です。
Microsoftの調査では、MFAによってアカウント侵害のリスクを99.9%以上低減できるとされています。
Microsoft Entra ID(旧Azure AD)では、以下の方法でMFAを強制できます。
- 条件付きアクセスポリシー(推奨):ユーザー・グループ・場所・デバイス状態などの条件に応じてMFAを要求
- セキュリティの既定値群:シンプルな設定で全ユーザーにMFAを有効化
- Microsoft Authenticatorアプリ:(現在はデフォルトで有効な)プッシュ通知+数値一致(Number Matching)でMFA疲労攻撃を防止
「MFAの導入は、現代のセキュリティ対策において不可欠です。Microsoft Authenticatorアプリは、SMS や音声通話よりも安全な認証方法であり、さらに数値一致やパスワードレス認証、パスキー対応など、さまざまな攻撃に対応して進化を続けています。」
参考: Entra ID 初学者向けシリーズ 第3弾 – Microsoft Authenticator アプリ入門
参考: 条件付きアクセス ポリシー テンプレートの高度な展開ガイド
仕組み2:Microsoft Entraパスワード保護(禁止パスワードリスト)
MFAと並行して、そもそも弱いパスワードを設定させない仕組みも重要です。
Microsoft Entra ID(旧Azure AD)には「パスワード保護」という機能があり、以下の2層でパスワードの品質を担保します。
グローバル禁止パスワードリスト(自動適用)
Microsoftが世界的に収集した脆弱パスワードのリストです。password、monkey、123456のような一般的な弱いパスワードは自動的にブロックされます。このリストは公開されておらず、Microsoftが継続的に更新しています。
カスタム禁止パスワードリスト(任意設定)
組織名やブランド名など、推測されやすい単語をカスタム禁止パスワードリストとして登録できます。
例えば「Contoso」という企業なら、Contoso2024!のようなパスワードを禁止できます。
また、Entra IDの標準機能である「スマートロックアウト」とも連携し、一定回数のログイン失敗で自動的にアカウントをロックし、ブルートフォース攻撃を防止します。
仕組み3:Microsoft Entra ID Protectionによるリスクベース検知
「パスワードが漏洩しても即座に検知して対応する」 仕組みが ID Protectionです。
ID Protectionは以下のリスクを自動検知します。
- 漏洩した資格情報の検出:Microsoftが保有する脅威インテリジェンスや漏洩資格情報データを基に、「漏洩した資格情報(Leaked Credentials)」リスクを検出します。
- 異常なサインイン検知:通常とは異なる場所・デバイスからのアクセス、パスワードスプレー攻撃の兆候などをリアルタイム検出
リスクを検知した場合の自動アクションとして:
- サインインリスクポリシー:リスクの高いサインインを検出した際にMFAを追加要求
- ユーザーリスクポリシー:アカウントへのリスクを検知した際にパスワードリセット(SSPR)を強制
「Identity Protectionは、ダークウェブ上の資格情報を監視しており、当該ユーザーのパスワードがダークウェブ上でやり取りされていることを確認すると、オフラインリスクである「漏洩した資格情報」を検出します。Identity Protectionはこの一連のオペレーションを自動的に行います。」
これにより、「定期的に変える」のではなく「漏洩したときだけ変える」という、より合理的なパスワード変更が実現できます。
参考: Identity Protection 2つのリスクポリシーの導入メリットについて
参考: Entra ID 初学者向けシリーズ第2弾 – ID Protection 入門 – その3
推奨する管理者向けチェックリスト
以下のアクションを実施することで、「パスワード無期限化」を安全に運用できます。
今すぐやること
- Microsoft 365管理センターで「パスワードを無期限に設定する(推奨)」を有効化する
- セキュリティの既定値群またはMFAを全ユーザーに有効化する
できるだけ早くやること
- Microsoft Authenticatorアプリへの移行を推進する(SMS認証より安全)
- 条件付きアクセスポリシーでレガシー認証をブロックする
- Microsoft Entra パスワード保護でカスタム禁止パスワードリストを設定する
- セルフサービスパスワードリセット(SSPR)を有効化し、ヘルプデスクの負荷を軽減する
ライセンスに応じて検討すること(Entra ID P2推奨)
- Microsoft Entra ID Protection(Microsoft Entra ID P2ライセンスが必要)の
サインインリスクポリシーを有効化する - ユーザーリスクポリシーを有効化し、漏洩資格情報を自動検知する
- パスワードレス認証(Windows Hello for Business、FIDOキー、Authenticatorパスキー)への移行を検討する
まとめ:「変えない」ことが正しいのではなく、「変え方を変える」こと
本記事のポイントを整理します。
| 旧来の考え方 | Microsoftが推奨する現代のアプローチ |
|---|---|
| 90日ごとにパスワードを強制変更 | パスワードは無期限(ただしMFAと組み合わせる) |
| パスワードの複雑さを強制する | 禁止パスワードリストで弱いパスワードをブロック |
| ユーザーが自己管理する | 漏洩検知(ID Protection)で自動的に対応 |
| 定期的に変える = 安全 | 漏洩したときだけ変える = より合理的 |
「パスワードを無期限にする」というのは、セキュリティをゆるめることではありません。
パスワード依存のセキュリティという旧来の考え方から脱却し、MFA・リスク検知・禁止パスワードリストという多層防御に移行すること——それこそがMicrosoftが推奨する、現代のアイデンティティセキュリティの姿です。
免責事項:Microsoft 365の機能や仕様は変更される可能性がありますので、実施前には最新の公式ドキュメントをご確認ください。
