1979年11月、アメリカ計算機学会（ACM）の学術誌に一本の論文が掲載された。

ベル研究所のロバート・H・モリスとケン・トンプソンによる「Password Security: A Case History」である。後者はUnixの共同発明者として知られる人物だ。

論文の趣旨は単純だった。Unix系システムのユーザーが選ぶパスワードのうち、実に86%が短すぎるか辞書に載っている単語だった——という調査報告だ。彼らは「定期的にパスワードを変えれば、万一漏洩しても被害を最小化できる」という考え方を示した。

この一文が、のちに世界中のシステム管理者の「聖典」となる。

当時はまだ、インターネットなど存在しなかった。大型コンピューター（メインフレーム）を複数の研究者が共用する時代だ。パスワードが漏れるとすれば、「同僚が盗み見た」か「紙にメモして捨てた」ケースである。その文脈で「定期変更」はそれなりに合理的な対策だった。

しかし時代は変わる。慣習は変わらなかった。

---

1990年代、パーソナルコンピューターが企業に普及し始めると、マイクロソフト社のWindows NTシリーズが「社内ネットワークの標準」となっていった。

Windows 2000が登場した2000年ごろ、企業の情報システム担当者たちはActive Directory（アクティブ・ディレクトリ）と呼ばれる仕組みを使い、社員のアカウントを一元管理するようになった。

このシステムには、あらかじめパスワード有効期限の設定が組み込まれていた。デフォルト設定は「42日」だ。

システム管理者たちは、このデフォルト値を疑わなかった。疑う理由がなかった。「マイクロソフトが決めた値だから正しい」と解釈するのは自然なことでもあった。

こうして42日→60日→90日と、各社が独自の「定期変更ポリシー」を組み込み始めた。特に根拠はなかった。「セキュリティのため」という大義名分があれば、それ以上の説明は不要だった。

日本企業の情報システム部門に、ひとつの文化が定着した。「90日ごとにパスワードを変えよ」という掟だ。

---

2004年12月、クレジットカード業界が動いた。

VISA、Mastercard、American Expressら大手カードブランドが共同で「PCI DSS（Payment Card Industry Data Security Standard＝支払カード業界データセキュリティ基準）」という規格を策定した。カード情報を扱う全事業者に対し、準拠を求めるものだ。

この聖典の中に、明確な一文が書かれていた。「パスワードは少なくとも90日に1回変更すること」

根拠は示されていなかった。が、「国際的な認証基準がそう言っている」という事実が、日本企業にとっては十分な理由だった。監査が来る。証跡を見せろと言われる。「90日以内に変更した記録」がなければ指摘事項になる。

かくして90日という数字は、「セキュリティポリシー」のひな型として日本中に広まった。カード業者でなくても「うちも90日にしよう」と追随する企業が続出した。なぜ90日なのか、誰も説明できなかったが、それを問う者もいなかった。

---

2000年代前半、日本企業のもうひとつの流行が加速した。ISO 27001（ISMS：情報セキュリティマネジメントシステム）の認証取得ブームだ。

取引先から「ISMS取得済みですか」と聞かれるようになり、大企業から中堅企業へ、中堅から中小へと、認証取得の波が広がった。

認証審査の過程で、コンサルタントたちは「パスワードの定期変更ポリシーはありますか？」と尋ねた。なければ作れと指導した。

かくして「パスワードは3か月ごとに変更する」という一文が、全国数万社の社内規程に刻まれた。

---

だが、2000年代に入ると、あちこちで異議が噴出し始めた。マイクロソフトリサーチのCormac Herley（コーマック・ハーリー）らや、大学の研究チームが「強制的なパスワード変更は、セキュリティを高めるどころか弱める」という調査結果を次々と発表した。

なかでも2010年のノースカロライナ大学の研究は衝撃的だった。ユーザーがパスワードを変更する際のパターンを分析すると、41%のアカウントで「変更後のパスワード」が3秒以内に予測できてしまったのだ。

理由は人間の行動にあった。90日ごとに変更を強制されたユーザーは、次のような行動をとる。「Sakura2024」→「Sakura2025」など、末尾の数字を増やすだけ。同じパスワードに戻れないよう「過去8回使用禁止」ルールを課されると、「Mountain1!」「Mountain2!」と連番にする。覚えられなくなり、付箋でモニターに貼る。変更を忘れてアカウントがロックされ、ヘルプデスクに電話する。

定期変更を義務付けることで、ユーザーは「強いパスワード」を諦め「変えやすいパスワード」に移行していった。これは攻撃者にとって、むしろ好都合な状況だった。

2016年には米連邦取引委員会（FTC）の主席技術者ロリー・クラナー（Lorrie Faith Cranor）が「定期変更を再考する時が来た」とFTC公式ブログで発信し、議論はいよいよ政策レベルに達した。

しかし、現場はまったく変わらなかった。「セキュリティ研究者がそう言っている」より、「ISO審査員がそう言っている」のほうが、社内では圧倒的に重かった。

---

2017年6月、アメリカの国立標準技術研究所（NIST）が動いた。

NIST Special Publication 800-63B「デジタルアイデンティティガイドライン」の改訂版に、こう明記された。

約40年ぶりに、国際標準が「定期変更不要」へと転換した瞬間だった。

理由は研究成果の集積そのものだった。定期変更が推奨されていた時代と、現代の脅威モデルは根本的に異なる。今日のリスクは「同僚の盗み見」ではなく「データベース丸ごとの漏洩」だ。その場合、パスワードを毎月変えても、漏洩した瞬間に無意味になる。むしろ「他サービスで同じパスワードを使い回さない」「長いパスフレーズを使う」「多要素認証を導入する」のほうがはるかに効果的だ——という結論だった。

---

2017年11月、すでに日本でも動きがあった。総務省の「国民のための情報セキュリティサイト」に「定期的な変更は不要」という文言が追加された。

そして2018年3月、総務省は公式に方針を転換した。

内閣サイバーセキュリティセンター（NISC）のガイドラインも追随した。

しかし、日本企業の現場は沈黙した。

90日ごとのパスワード変更画面が、今日もどこかの会社のPCに表示されている。情報システム部門は「社内規程をすぐに変えるのは難しい」と言う。監査対応のため「ポリシー上は定期変更を維持している」という会社も多い。PCI DSS v4.0でさえ、多要素認証（MFA）を導入していない場合には90日変更が依然として残っている。

掟は生きている。

---

---

この物語の本質は、技術の問題ではない。

「正しいことがわかった」と「変える」の間には、組織という名の海峡がある。

セキュリティポリシーを変えるには、稟議を通し、役員の承認を得て、全社員に周知し、監査対応の証跡を更新しなければならない。その手間と「今のままでいい」というリスクを天秤にかけたとき、多くの担当者は現状維持を選ぶ。

責められるとすれば、それは担当者ではなく構造だ。「なぜ変えないのか」を問う上司がいない。「変えた場合のリスクゼロ証明」を求められる文化がある。「監査が通っているから今のままでいい」という組織防衛本能が働く。

1979年にベル研究所で書かれた一文は、インターネットが誕生する前の話だ。しかし、その精神だけは令和の職場でも生き続けている。

「90日が来た。パスワードを変えよ。」

これはセキュリティではなく、もはや儀式だ。

王国は知っている。この儀式に意味がないことを。

それでも、今日も画面に通知が表示される。