パスワードは今でも定期的に変更すべき？2026年の最新指針

結論から先に

「3か月ごとに変更」「半年に1回変更」というルールは現在の国際基準で推奨されていません。米国NIST、英国NCSC、日本の総務省・IPAすべてが「定期変更」の項目をガイドラインから削除しています。代わりに重視されているのは、①長く・独自のパスワードを使う、②サイトごとに違うパスワードを使う（使い回しゼロ）、③多要素認証（二段階認証）を必須化する、の3原則です。漏えいの疑いがあったときのみ即変更します。会社の社内規定で90日変更が残っている場合は、規定に従いつつ管理職や情報システム部門に最新基準を伝えてください。

どんな場合に当てはまるか

重要度別のアカウント区分

• 最重要（変更頻度ゼロでも構わないが二段階認証必須）：メール、Apple ID、Google アカウント、Microsoft、銀行、証券
• 重要（強固＋二段階認証推奨）：SNS、Amazon・楽天など決済情報を持つEC
• 通常（強固＋使い回し禁止）：その他のサービス
• 軽量（強固であればOK）：ニュースサイト、フォーラム

個人で守るべき5原則

1. パスワードは12文字以上、4種類の文字を組み合わせる
2. すべてのサイトで違うパスワードを使う
3. パスワードマネージャーで管理する
4. 二段階認証を有効化する（特に金融とメール）
5. 漏洩確認を年1回行う

会社・組織での更新ポリシー

旧来の「90日強制変更」を続けている組織は、NIST 800-63Bの改訂（2017年）以降の最新指針に基づくポリシー更新を検討してください。多くの先進企業はすでに「強固＋使い回し禁止＋多要素認証＋漏えい時のみ変更」に移行しています。

「パスキー」への移行

パスキーはパスワードを完全に廃止する次世代認証で、デバイス内の生体認証＋暗号鍵で認証します。Apple ID、Google、Microsoft、Amazon、メルカリ、PayPay、X（Twitter）など主要サービスで対応が進んでいます。フィッシング詐欺に強い、覚える必要がない、流出のリスクがゼロという利点があります。

例外状況

強制変更が今でも必要なケース

• パスワードが漏洩したと通知された／疑いがある
• 共有端末や信頼できない場所で入力した
• マスターパスワードを長期間使い回しているとき（マネージャーのマスターは別格）
• 退職者・解雇者がアクセスできた可能性のあるアカウント
• セキュリティインシデント（不審ログインの通知）があった

二段階認証を有効化できないサービス

古いサービスではSMSも認証アプリも対応していない場合があります。その場合は強固なパスワード＋利用最小化＋月1回程度のログイン確認で対応します。

子ども・高齢の親のアカウント

本人が複雑な管理を行えない場合、家族の誰かが代理で1Password ファミリープランや iCloud キーチェーンで一元管理する選択肢があります。

費用・リスク・注意点

主要パスワードマネージャー

• 1Password：個人月450円、ファミリー（5人）月750円
• Bitwarden：個人無料、有料版年1,500円程度、ファミリー年5,500円程度
• Keeper：個人月450円
• iCloud キーチェーン：Apple ユーザー無料
• Google パスワード マネージャー：Google アカウントユーザー無料
• Microsoft Authenticator：無料

二段階認証の3方式

• SMS：手軽だがSIMスワッピング詐欺で破られるリスクあり
• 認証アプリ（TOTP）：Google Authenticator、Microsoft Authenticator、Authy、SMS より安全
• ハードウェアキー：YubiKey、SoloKey、3,000〜10,000円、最強

主要な漏洩確認サービス

• Have I Been Pwned（haveibeenpwned.com）：英語、メアド・電話で確認
• Firefox Monitor：Mozillaが提供、日本語あり
• Google Chrome の「パスワード チェック」：ブラウザ内で自動確認
• iCloud キーチェーンの「セキュリティに関する勧告」：自動通知

2025年以降の主要脆弱性事例

• ベルトラ子会社：フィッシング誘導で約5,000万円流出
• Google Cloudの統合機能悪用：3,000超の組織を狙う攻撃
• 国内フィッシング報告件数：年間約245万件（過去最多）
• 2025年〜2026年は生成AIを悪用したフィッシングメールが急増し、見分けが難しくなっています

弱いパスワードの典型例

• 「password」「123456」「qwerty」「abc123」「P@ssw0rd!」（毎年の最悪パスワードランキング常連）
• 「[氏名]+生年月日」
• 「[ペット名]+1」
• すべて小文字の英単語
• 「Password2024!」のように年だけ変える運用 これらは数秒〜数分で総当たり攻撃で破られます。

注意：パスワード使い回しの被害連鎖

あるサイトでパスワードが漏洩すると、攻撃者はそのメールアドレス＋パスワードの組み合わせを他の100以上のサービスで試します（パスワードリスト攻撃）。1つでも一致したら芋づる式に乗っ取られます。使い回しの被害例：1社の漏洩→他社の銀行・SNS・ECすべて被害。

企業・組織向けの推奨

• 「90日変更」を「漏えい時即変更」へ
• SSO（シングルサインオン）の導入で従業員のパスワード管理負荷を減らす
• Active DirectoryなどでパスワードポリシーをNIST準拠に
• 全社員に対するセキュリティ教育（フィッシングメール訓練）を年2回以上

よくある質問

Q. 会社のシステムが90日変更を強制してきます。どうすればよいですか？

組織のポリシーは個人で変えられませんが、規定の中で最大限強固なパスワードを設定し、毎回ランダム文字列のパスワードに変更する（末尾だけ変える運用はしない）対応が望ましいです。情報システム部門にNISTやIPAの最新ガイドラインを共有し、ポリシー見直しを提案するのも選択肢です。

Q. iPhoneの「キーチェーン」と「1Password」のどちらがよいですか？

Apple製品のみで完結し無料で使うならキーチェーン。Windows PC・Android端末・職場PCでも共有したい、家族とパスワードを安全に共有したいなら有料パスワードマネージャー（1Password・Bitwarden）の方が便利です。

Q. パスキーを設定したら従来のパスワードはどうなりますか？

サービスによりますが、多くは併用可能。パスキーを優先使用し、フォールバックとして従来パスワード＋2段階認証が残る形が多いです。完全にパスワードを無効化できるサービスはまだ少数。徐々に増える見込みです。

Q. パスワードを忘れたときのリカバリーはどうしますか？

①再設定用メールアドレスを最新に保つ、②電話番号を登録、③秘密の質問は推測されにくい架空の答えにする、④リカバリーコードを印刷して金庫保管、⑤信頼できる家族を「アカウント無効化管理ツール」の連絡先に設定。パスワードマネージャーのマスターパスワードを忘れた場合は復旧できないことが多いので、特に厳重に管理します。

参考資料

• NIST Special Publication 800-63B「Digital Identity Guidelines」— 米国政府のID認証指針
• 総務省「国民のためのサイバーセキュリティサイト」— パスワードと認証の解説
• IPA「情報セキュリティ10大脅威」— 最新の脅威と対策