Microsoft 365 パスワードに関するパスワード ポリシーの推奨事項

組織の管理者は、組織内のユーザーのパスワード ポリシーを設定する責任を負います。 パスワード ポリシーの設定は複雑で混乱する可能性があり、この記事では、パスワード攻撃に対する組織のセキュリティを強化するための推奨事項を提供します。

Microsoft クラウド専用アカウントには、変更できない定義済みのパスワード ポリシーがあります。 変更できる項目は、パスワードが期限切れになるまでの日数と、パスワードの有効期限が切れるかどうかのみです。

組織で Microsoft 365 パスワードが期限切れとなる頻度を決める場合は、「Microsoft 365 のパスワード有効期限ポリシーを設定する」を参照してください。

Microsoft 365 パスワードの詳細については、以下を参照してください。

パスワードをリセットする (記事)

個別のユーザーのパスワードを無期限に設定する (記事)

ユーザーが自分でパスワードをリセットできるようにする (記事)

ユーザーのパスワードを再送信する - 管理者向けヘルプ (記事)

必須のパスワード変更を再考する時間

パスワードの推奨事項について

適切なパスワード手法は、次のようないくつかのカテゴリに大きく分けられます。

  • 一般的な攻撃に対抗する これは、ユーザーがパスワードを入力する場所 (マルウェアを適切に検出できる既知の信頼できるデバイス、検証済みサイト) の選択、およびパスワード (長さと一意性) の選択に関係します。

  • 成功した攻撃を含む ハッカー攻撃を成功させるには、特定のサービスへの公開を制限するか、ユーザーのパスワードが盗まれた場合にその損害を完全に防ぐことです。 たとえば、ソーシャル ネットワーク資格情報の侵害によって銀行口座が脆弱にならないか、保護が不十分なアカウントが重要なアカウントのリセット リンクを受け入れないようにします。

  • 人間の性質を理解する 多くの有効なパスワード手法では、自然な人間の行動には十分対応できません。 調査により、ユーザーに適用されるほとんどすべてのルールはパスワードの品質を弱化することがわかっているため、人間の性質を理解することが重要です。 長さの要件、特殊文字の要件、パスワード変更の要件はすべて、パスワードを正規化することになるため、攻撃者はパスワードを簡単に推測したり、解読したりすることができるようになります。

管理者向けのパスワード ガイドライン

より安全なパスワード システムの最大の目的は、パスワードの多様性です。 パスワードを推測しにくくするためのパスワード ポリシーが必要です。 組織を可能な限り安全な状態に保つための推奨事項をいくつか以下に示します。

  • 14 桁の最小長要件を維持する

  • 文字構成の要件を求めない。 たとえば、*&(^%$

  • ユーザー アカウントの必須の定期的なパスワード リセットを求めない

  • 最も脆弱なパスワードがシステムで使用されないように、よく使われるパスワードを禁止する

  • 業務以外の目的で組織のパスワードを再利用しないようにユーザーを教育する

  • 多要素認証の登録を適用する

  • リスク ベースの多要素認証チャレンジを有効にする

ユーザー向けパスワード ガイダンス

組織内のユーザー向けパスワード ガイダンスをいくつか以下に示します。 ユーザーに以下の推奨事項を認識してもらい、組織レベルで推奨されるパスワード ポリシーを適用するようにしてください。

  • 他の Web サイトで使用しているものと同じ、または似たようなパスワードは使用しない

  • 1 単語 (たとえば、password や、Iloveyou などのよく使われるフレーズ) は使用しない

  • 友だちと家族の名前と誕生日、お気に入りのバンド、使用しそうなフレーズなど、自分のことをよく知る人でもパスワードを簡単に推測できないようにする

一般的ないくつかの方法とその悪影響

以下は最もよく使われるパスワードの管理手法の一部ですが、調査ではその悪影響について警告しています。

ユーザー向けパスワードの有効期限の要件

パスワードの有効期限の要件にはメリットもありますがデメリットのほうが多くなります。これらの要件に従うと、ユーザーは互いに密接に関係している一連の単語と数字で構成される、予測可能なパスワードを選択することになるためです。 このような場合、次のパスワードは前のパスワードに基づいて予測することができます。 パスワードの有効期限の要件に抑制効果はありません。サイバー犯罪者は、ほとんどの場合、資格情報を侵害するとすぐに使用するためです。

パスワードの最小長要件

ユーザーが一意のパスワードについて考えるよう促すために、14 文字の最小長の妥当な要件を維持することをお勧めします。

複数の文字セットの使用を要求する

パスワードの複雑さ要件により、キー スペースが減り、ユーザーが予測可能な方法で行動することになり、これでは元も子もありません。 ほとんどのシステムでは、ある程度のパスワードの複雑さ要件を適用します。 たとえば、パスワードには、次のカテゴリの 3 つすべての文字が必要となります。

  • 大文字

  • 小文字

  • 英数字以外の文字

ほとんどのユーザーは似たようなパターンを使用します。たとえば、最初の位置が大文字、最後が記号、最後の 2 つが数字などです。 サイバー犯罪者はこれを認識しているため、最も一般的な置換文字、つまり、"s" の場合は "$"、"a" の場合は "@"、"l" の場合は "1" を使用して辞書攻撃を実行します。 ユーザーに大文字、小文字、数字、特殊文字の組み合わせを選択させるのは逆効果です。 複雑さ要件によっては、セキュリティで保護された覚えやすいパスワードをユーザーが使用できないようにするものもあり、ユーザーにセキュリティ レベルの低い覚えにくいパスワードを思い付かせることになります。

成功パターン

上記のものとは対照的に、パスワードに多様性を持たせる推奨事項をいくつか以下に示します。

よく使われるパスワードを禁止する

ユーザーがパスワードを作成するときに認識させる最も重要なパスワード要件は、パスワードの総当たり攻撃に対する組織の脆弱性を減らすためによく使われるパスワードの使用を禁止することです。 一般的なユーザー パスワードには、 abcdefgpasswordmonkey などがあります

組織のパスワードを他の場所で再利用しないようにユーザーを教育する

組織内のユーザーに伝える最も重要なメッセージの 1 つは、組織のパスワードを他の場所で再利用しないということです。 外部の Web サイトで組織のパスワードを使用すると、サイバー犯罪者がこれらのパスワードを侵害する可能性が高くなります。

多要素認証の登録を適用する

ユーザーが、代替メール アドレス、電話番号、プッシュ通知用に登録されたデバイスなどの連絡先とセキュリティ情報を更新し、セキュリティ チャレンジに応答して、セキュリティ イベントに関する通知を受け取れるようにします。 更新された連絡先とセキュリティ情報は、ユーザーが万が一パスワードを忘れてしまった場合、または他のユーザーがアカウントを引き継ごうとした場合の本人確認に役立ちます。 また、ログイン試行やパスワード変更など、セキュリティ イベントが発生した場合には、帯域外の通知チャネルが提供されます。

詳細については、「Office 365 ユーザー用の多要素認証を設定する」を参照してください。

リスク ベースの多要素認証を有効にする

リスク ベースの多要素認証では、Microsoft のシステムで不審な動作が検出されたときに、正当なアカウント所有者であることを確認するためにユーザーに対してチャレンジを実行することができます。

次の手順

パスワードの管理についてさらに詳しい情報が必要な場合は、 以下でおすすめの記事をお読みください:

パスワードをリセットする (記事)
個別のユーザーのパスワードを無期限に設定する (記事)
ユーザーが自分でパスワードをリセットできるようにする (記事)
ユーザーのパスワードを再送信する - 管理者向けヘルプ (記事)