こんにちは。株式会社ＨＯＰＥ（ホープ）代表の長嶋です。

総務省が「パスワードの定期変更はセキュリティ強化にはならないので不要」という方針を出しました(気づいたら方針変更してました)。

https://support.trustlogin.com/hc/ja/articles/360002888113-%E3%83%91%E3%82%B9%E3%83%AF%E3%83%BC%E3%83%89%E3%81%AE%E5%AE%9A%E6%9C%9F%E5%A4%89%E6%9B%B4%E3%81%AF%E4%B8%8D%E8%A6%81-%E7%B7%8F%E5%8B%99%E7%9C%81%E3%81%8C%E6%AD%B4%E5%8F%B2%E7%9A%84%E3%81%AA%E6%96%B9%E5%90%91%E8%BB%A2%E6%8F%9B

企業に導入されているログインシステムのほとんどは定期的にパスワード変更を要求され、実際に変更が必要になります。この変更が不要だ、という方針に変更になったということとなります。

そもそも、なぜパスワードの定期変更が推奨されていたかというと、

・米国国立標準技術研究所 (通称NIST) がそういう方針を出していたから

という理由で、今回の方針変更も、

・米国国立標準技術研究所 (通称NIST) がそういう方針に変更したから

という理由のようです。なんだかなあという感じです。

ちなみに、NISTの方針変更の理由は、

・定期的なパスワード変更が強制されてしまうと、憶えておきやすいパスワード(≒推測されやすいパスワード)ばかりを都度設定してしまうため、かえってバレやすいから

というものらしく、これは実体験からも納得感があります。