Microsoft 365 パスワードに関するパスワード ポリシーの推奨事項

スモール ビジネス ヘルプとラーニングに関するすべてのスモール ビジネス コンテンツをご覧ください。

組織の管理者は、組織内のユーザー向けのパスワード ポリシーを設定する必要があります。 パスワード ポリシーの設定は複雑でわかりにくい場合があります。この記事では、パスワード攻撃からの組織の保護を強化するための推奨事項を示します。

Microsoft クラウド専用アカウントには、変更できない定義済みのパスワード ポリシーがあります。 変更できる項目は、パスワードが期限切れになるまでの日数と、パスワードの有効期限が切れるかどうかのみです。

組織で Microsoft 365 パスワードが期限切れとなる頻度を決める場合は、「Microsoft 365 のパスワード有効期限ポリシーを設定する」を参照してください。

Microsoft 365 パスワードの詳細については、以下を参照してください。

パスワードをリセットする (記事)

個別のユーザーのパスワードを無期限に設定する (記事)

ユーザーが自分でパスワードをリセットできるようにする (記事)

ユーザーのパスワードを再送信 する (記事)

必須のパスワード変更を再考する時間。

パスワードの推奨事項について

適切なパスワード手法は、次のようないくつかのカテゴリに大きく分けられます。

• 一般的な攻撃に対抗する これは、ユーザーがパスワードを入力する場所 (マルウェアを適切に検出できる既知の信頼できるデバイス、検証済みサイト) の選択、およびパスワード (長さと一意性) の選択に関係します。

• 成功した攻撃を含める 成功したハッカーの攻撃を含めるのは、特定のサービスへの公開を制限するためです。また、ユーザーのパスワードが盗まれた場合に、その損害を完全に防ぐことにもなります。 たとえば、ソーシャル ネットワーク資格情報の侵害により、銀行口座が攻撃を受けやすくならないようにしたり、十分に保護されていないアカウントで重要なアカウントのリセット リンクが受け入れられないようにしたりします。

• 人間の性質を理解する 多くの有効なパスワード手法では、自然な人間の行動には十分対応できません。 人間の性質を理解することは非常に重要です。調査によると、ユーザーに課すほぼすべてのルールによってパスワードの品質が低下します。 長さの要件、特殊文字の要件、パスワード変更の要件はすべて、パスワードを正規化することになるため、攻撃者はパスワードを簡単に推測したり、解読したりすることができるようになります。

管理者向けのパスワード ガイドライン

より安全なパスワード システムの最大の目的は、パスワードの多様性です。 パスワードを推測しにくくするためのパスワード ポリシーが必要です。 組織を可能な限り安全な状態に保つための推奨事項をいくつか以下に示します。

• 14 文字の最小長要件を維持する

• 文字構成の要件を求めない。 たとえば、*&(^%$

• ユーザー アカウントの必須の定期的なパスワード リセットを求めない

• 最も脆弱なパスワードがシステムで使用されないように、よく使われるパスワードを禁止する

• 非作業関連の目的でorganizationパスワードを再利用しないようにユーザーを教育する

• 多要素認証の登録を適用する

• リスクベースの多要素認証の課題を有効にする

ユーザー向けパスワード ガイダンス

組織内のユーザー向けパスワード ガイダンスをいくつか以下に示します。 ユーザーに以下の推奨事項を認識してもらい、組織レベルで推奨されるパスワード ポリシーを適用するようにしてください。

• 他の Web サイトで使用しているものと同じ、または似たようなパスワードは使用しない

• 1 単語 (たとえば、password や、Iloveyou などのよく使われるフレーズ) は使用しない

• あなたの友人や家族の名前や誕生日、お気に入りのバンド、使用したいフレーズなど、あなたについて多くのことを知っている人々によっても、推測するのが難しいパスワードを作ります

一般的ないくつかの方法とその悪影響

彼らは最も一般的に使用されるパスワード管理プラクティスの一部ですが、研究は彼らの悪影響について警告します。

ユーザー向けパスワードの有効期限の要件

パスワードの有効期限の要件は、ユーザーが相互に密接に関連する連続した単語と数字で構成された予測可能なパスワードを選択するため、良いことよりも害を及ぼします。 このような場合、次のパスワードは前のパスワードに基づいて予測することができます。 パスワードの有効期限の要件に抑制効果はありません。サイバー犯罪者は、ほとんどの場合、資格情報を侵害するとすぐに使用するためです。

パスワードの最小長要件

ユーザーが一意のパスワードについて考えるのを奨励するために、妥当な 8 文字の最小長要件を維持することをお勧めします。

複数の文字セットの使用を要求する

パスワードの複雑さ要件により、キー スペースが減り、ユーザーが予測可能な方法で行動することになり、これでは元も子もありません。 ほとんどのシステムでは、ある程度のパスワードの複雑さ要件を適用します。 たとえば、パスワードには、次のカテゴリの 3 つすべての文字が必要となります。

• 大文字

• 小文字

• 英数字以外の文字

ほとんどのユーザーは、同様のパターンを使用します。 たとえば、最初の位置の大文字、最後の記号、最後の 2 の数値などです。 サイバー犯罪者はこのようなパターンを認識しているため、最も一般的な置換 "$" を使用して辞書攻撃を実行します。"s"、"@" の場合は "a"、"1" は "l" です。 ユーザーに大文字、小文字、数字、特殊文字の組み合わせを選択させるのは逆効果です。 複雑さ要件によっては、セキュリティで保護された覚えやすいパスワードをユーザーが使用できないようにするものもあり、ユーザーにセキュリティ レベルの低い覚えにくいパスワードを思い付かせることになります。

成功パターン

上記のものとは対照的に、パスワードに多様性を持たせる推奨事項をいくつか以下に示します。

よく使われるパスワードを禁止する

ユーザーがパスワードを作成するときに認識させる最も重要なパスワード要件は、パスワードの総当たり攻撃に対する組織の脆弱性を減らすためによく使われるパスワードの使用を禁止することです。 よく使われるユーザー パスワードには、abcdefg、password、monkey などがあります。

組織のパスワードを他の場所で再利用しないようにユーザーを教育する

組織内のユーザーに伝える最も重要なメッセージの 1 つは、組織のパスワードを他の場所で再利用しないということです。 外部 Web サイトでorganizationパスワードを使用すると、サイバー犯罪者がこれらのパスワードを侵害する可能性が大幅に高くなります。

多要素認証の登録を適用する

ユーザーが、代替メール アドレス、電話番号、プッシュ通知用に登録されたデバイスなどの連絡先とセキュリティ情報を更新し、セキュリティ チャレンジに応答して、セキュリティ イベントに関する通知を受け取れるようにします。 更新された連絡先とセキュリティ情報は、ユーザーが万が一パスワードを忘れてしまった場合、または他のユーザーがアカウントを引き継ごうとした場合の本人確認に役立ちます。 また、ログイン試行やパスワードの変更などのセキュリティ イベントに対する帯域外通知チャネルも提供します。

詳細については、「Office 365 ユーザー用の多要素認証を設定する」を参照してください。

リスクベースの多要素認証を有効にする

リスクベースの多要素認証により、システムが疑わしいアクティビティを検出すると、ユーザーが正当なアカウント所有者であることを確認するようにユーザーにチャレンジできます。

次の手順

パスワードの管理についてさらに詳しい情報が必要な場合は、 推奨される読み取りを次に示します。

• パスワードは忘れて、これからはパスワードレス

• Microsoft パスワード ガイダンス

• Do Strong Web Passwords Accomplish Anything? (強力な Web パスワードでできること)

• Password Portfolios and the Finite-Effort User (パスワード ポートフォリオとユーザーの有限労力)

• Preventing Weak Passwords by Reading Users' Minds (ユーザーの心を読み取り、脆弱なパスワードの使用を防ぐ)

• Choosing Secure Passwords (セキュリティで保護されたパスワードの選択)

• Time to rethink mandatory password changes (必須パスワードの変更を再検討する時間)

関連コンテンツ

パスワードをリセットする (記事)
個別のユーザーのパスワードを無期限に設定する (記事)
ユーザーが自分でパスワードをリセットできるようにする (記事)
ユーザーのパスワードを再送信する - 管理者向けヘルプ (記事)