Language:
定期的なパスワード変更をユーザーに要求する、Microsoft Entra ID のパスワードの有効期限の設定ミスは、意図せずセキュリティ上の脆弱性を招く可能性があります。従来の有効期限ポリシーでは、ユーザーは侵害された認証情報を頻繁に変更するという古い前提が採用されています。現実は、パスワードを頻繁に変更すると、パターンが予測可能になったり、以前のパスワードをわずかに変えただけになったりします。こうなると、全体的な複雑度が低下し、アカウントがブルートフォース攻撃や辞書攻撃に対してより脆弱になります。
パスワード変更を強制すると、ユーザーがパスワードを書き留めたり、承認されていない場所に保存したり、記憶するために簡単に推測できるパターンを作成したりして、安全でない保管のリスクが増大する場合があります。この行動はセキュリティを低下させ、不正アクセスにつながる可能性があります。パスワードの期限切れを強制すると、組織は意図せずユーザーにベストプラクティスを迂回することを促進し、最終的にアタックサーフェスを拡大させてしまう可能性があります。
BOD 25-01 の下で強制される、CISA の「Microsoft Entra ID の M365 セキュア設定ベースライン」の MS.AAD.6.1v1 ポリシーでは、「ユーザーパスワードの有効期限は設定しないこと」と規定されています。これに準拠しない場合、特に CISA が管轄する連邦政府機関や請負業者においては、規制上および業務上の処分が下される可能性があります。現在のセキュリティ状況では、パスワードの有効期限の強制は、アイデンティティ中心のセキュリティ原則に沿ったものではありません。これらの原則では、堅牢なパスワードライフサイクルポリシーよりも、継続的なモニタリング、条件付きアクセス、脅威ベースの管理を優先します。 NIST SP 800-63 の最新のガイダンスでも、侵害の証拠がないのにパスワードの定期変更を強制すると、パスワードのランダム性が低下し、全体的なセキュリティが弱まる可能性があると指摘し、恣意的なパスワードのローテーションは行わないようアドバイスしています。 この露出インジケーターは、一定期間のパスワード有効期限を有効にしているドメインを検出します。
Microsoft Entra ID で [Set passwords to never expire] (パスワードを無期限にする) 設定を有効にすると、パスワードの有効期限ポリシーが削除されます。
パスワードを静的な秘密情報として扱い、安全な初期設定、強力なパスワード作成ガイドライン、信頼性の高いアカウント回復メカニズムを重視してください。時間ベースのパスワード変更を強制するのではなく、異常な動作や不正アクセスの試行を検出することに重点を置いてください。
定期的なパスワード変更を強制する代わりに、多要素認証 (MFA)、条件付きアクセスポリシー、FIDO2 キーなどのパスワードレスオプションなどの方法を使用することに重点的に取り組んでください。これらの方法により、パスワードへの依存度が減り、パスワードの経過日数に関係なく、認証されたユーザーのみがアカウントにアクセスできるようになるので、セキュリティが強化されます。
最後に、CISA の推奨事項に従うことによって、技術的負荷が軽減され、アイデンティティシステムの強度と信頼性が高まります。
名前: パスワードの有効期限が強制されている
コード名: PASSWORD-EXPIRATION-ENFORCED
深刻度: Low
タイプ: Microsoft Entra ID Indicator of Exposure