1. なぜ今「パスワード作成ルール」を更新すべきか

セキュリティ事故の入口は、いまも「ID・パスワード」に集中しています。理由はシンプルで、情報漏洩で流出した認証情報が“使い回し”されると、別サービスでも芋づる式に不正ログインが成立してしまうからです。さらに近年は、フィッシングで盗むだけでなく、端末のマルウェア（インフォスティーラー）がブラウザやアプリの保存情報を抜き取るケースも増えています。

実際、Verizon 2025 DBIRでは、漏洩/侵害の大きな割合に「人的要素」が関与し、サードパーティ関与も増加傾向とされています。つまり“強いパスワードを作る”だけでなく、人・端末・運用まで含めた対策が、情報漏洩を減らす近道です。

情報漏洩につながりやすい典型パターン

• 使い回し：1つ漏れると、他サービスも連鎖的に突破される（パスワードリスト攻撃/リスト型攻撃）。
• 短くて推測できる：単語＋数字、社名・サービス名、誕生日、連番などは突破されやすい。
• 定期変更の“形骸化”：「Passw0rd!」→「Passw0rd!!」のような小変更は攻撃者に読まれる。
• パスワードだけで守っている：2要素（MFA）がないと、漏洩後の防波堤がない。

2. 最新ガイドラインで変わった「パスワード作成ルール」

パスワードのルールは「複雑さ」よりも「長さ」と「漏洩前提の運用」へシフトしています。NIST SP 800-63B（SP 800-63-4世代）では、次の考え方が明確です。

NISTに沿った“いまどきルール”の要点

• 長さを優先：単要素（パスワードのみ）で使うなら最小15文字を要求。MFAの一部として使う場合でも最小8文字。
• 最大長は64文字以上を許容：長いフレーズ（パスフレーズ）を前提にする。
• 文字種の強制はしない：「大文字必須・記号必須」のような構成ルールを課さない。
• 定期変更を強制しない：根拠なく周期で変えさせない（漏洩の証拠がある場合は強制変更）。
• 漏洩・よくあるパスワードはブロック：過去の漏洩に含まれるものや、辞書語、サービス名・ユーザー名由来などは拒否（ブロックリスト）。
• ヒントや秘密の質問に頼らない：未認証の相手が見られる“ヒント”はNG。KBA（母親の旧姓など）も推奨しない。
• コピー＆ペーストを許可：パスワードマネージャー利用を前提に、入力体験を阻害しない。

昔の常識 vs 今の推奨（比較表）

読者向け：失敗しにくいパスワード（パスフレーズ）の作り方

結論は「長い・覚えられる・他と違う」です。おすすめは“ランダム性のある日本語フレーズ（または複数単語）＋サービスごとの識別子”の考え方です。

• ベースは15文字以上（できれば20文字以上）を目安にする。
• 単語の並びは“自分だけが覚えられるが、他人が推測しにくい”組み合わせにする（固有名詞・誕生日・社名は避ける）。
• 使い回しを避けるため、サービスごとに末尾だけでも差分を入れる（例：サービス名そのものではなく、自分しか分からない符号）。

3. 情報漏洩を減らすのは「作り方」より「運用」

セキュリティの現場では、パスワードは「いつか漏れるもの」として設計します。ここを押さえると、情報漏洩リスクは一段落ちます。

必須：使い回しを止める（パスワードマネージャー）

使い回しは、情報漏洩からの二次被害を最大化します。パスワードマネージャーは「各サイトで別々の長いランダム文字列」を現実的にする道具です。自動入力（オートフィル）とコピペを前提にした運用へ切り替えましょう。

必須：MFA（多要素認証）で“最後の砦”を作る

パスワードが漏れても、MFAがあれば不正ログインは止めやすくなります。ただしMFAにも強弱があります。近年のトレンドは、SMSからTOTP/パスキーへの移行です。

MFA方式の比較（どれを選ぶべき？）

漏洩を早期発見する「合図」を持つ

• ログイン通知（新しい端末/場所）をONにする。
• 復旧用メール・電話番号を最新化し、使っていない宛先は削除する。
• 「怪しいログインがあったら何をするか」を決めておく（パスワード変更、セッション強制ログアウト、MFA再設定など）。

関連記事

4. 企業・チーム向け：失敗しないパスワードポリシー設計

会社のセキュリティは、個人の努力だけでは限界があります。情報漏洩を減らすなら「守れる仕組み」に寄せるのが王道です。

最低限そろえたいポリシー（テンプレ）

• 長さ基準：単要素ログインは15文字以上。MFA併用でも8文字以上。
• 使い回し禁止：同一パスワードの再利用を禁止（パスワード履歴）。
• 定期変更は原則しない：漏洩兆候があるときだけ強制変更＋全セッション無効化。
• ブロックリスト：漏洩済み/よくある候補、社名・サービス名・ID由来は拒否。
• MFA必須化：管理者・重要システムは必須。可能ならパスキー等のフィッシング耐性を優先。
• ヘルプデスク手順：本人確認・再発行・例外対応を動画マニュアル化し、なりすましを防ぐ。

“情報漏洩を招きやすい運用”を潰す

• 共有アカウントをやめる（責任追跡できず、漏洩時の封じ込めが遅れる）。
• 退職・異動の棚卸しを自動化する（権限の残りが情報漏洩につながる）。
• 取引先・委託先のアカウントを分離し、期限付き・最小権限にする（サードパーティ起点を想定）。

動画マニュアルに落とし込むと強い業務手順

• 初回ログイン〜パスワードマネージャー導入〜MFA登録（5分動画）
• 端末紛失時の復旧（バックアップコード/代替手段）（3分動画）
• 「パスワードを教えて」と言われたときの対応（社内詐欺対策）（2分動画）

“セキュリティ教育をしたのに情報漏洩が起きる”のは、知識ではなく行動が揃っていないことが多いです。手順を動画マニュアル化して、誰がやっても同じ結果になる状態を作りましょう。

5. まとめ｜今日からできるチェックリスト

最新のパスワード作成ルールは「複雑さ」より「長さ」と「漏洩前提の運用」へ。使い回しを止め、パスワードマネージャーとMFA（可能ならパスキー）を組み合わせるほど、情報漏洩の二次被害は減らせます。定期変更より、漏洩検知と復旧手順の標準化がセキュリティを底上げします。

チェックリスト

• 単要素で使うパスワードは15文字以上にした
• サービスごとに使い回しゼロ（マネージャー導入）
• MFAを有効化した（できればTOTP/パスキー優先）
• ログイン通知・復旧手段を最新化した
• 「漏洩時にやること」を動画マニュアル化した（変更・ログアウト・再設定）

3T's（スリーティーズ）なら簡単に動画マニュアルが作れる！

動画マニュアル作成ツール「3T's（スリーティーズ）」は、誰でも簡単に動画マニュアルを作成・共有出来るオールインワン・クラウドツールです。AI翻訳やAIナレーションといった最先端技術をワンクリックで利用できます。3T'sの資料や無料説明会をご希望の方はぜひお問い合わせ下さい。