組織内の不適切なパスワードを排除するEliminate bad passwords in your organization

業界のリーダーたちは、複数の場所で同じパスワードを使用しないこと、パスワードを複雑にすること、“Password123” のように単純なパスワードにしないことを指示します。Industry leaders tell you not to use the same password in multiple places, to make it complex, and to not make it simple like “Password123”. 組織は、ユーザーがベスト プラクティスのガイダンスに従うことをどうやって保証できるでしょうか。How can organizations guarantee that their users are following best-practice guidance? ユーザーが脆弱なパスワードやそのバリエーションを使用しないことは、どうすれば徹底できるでしょうか。How can they make sure users aren't using weak passwords, or even variations on weak passwords?

より強力なパスワードを持たせるための最初の手順は、ユーザー ガイダンスを提供することです。The initial step in having stronger passwords is to provide guidance to your users. このトピックに関する Microsoft の現在のガイダンスについては、次のリンクを参照してください。Microsoft's current guidance on this topic can be found at the following link:

Microsoft のパスワードのガイダンスMicrosoft Password Guidance

優れたガイダンスは重要ですが、それがあったとしても、多くのユーザーが最終的に脆弱なパスワードを選択していることがわかっています。Having good guidance is important, but even with that we know that many users will still end up choosing weak passwords. Azure AD のパスワード保護は、既知の脆弱なパスワードやそのバリエーションを検出してブロックするとともに、必要に応じて組織固有の脆弱な用語をブロックすることにより、組織を保護します。Azure AD Password Protection protects your organization by detecting and blocking known weak passwords and their variants, as well as optionally blocking additional weak terms that are specific to your organization.

セキュリティに関する最新の取り組みについて詳しくは、「マイクロソフト セキュリティ インテリジェンス レポート」を参照してください。For more information about current security efforts, see the Microsoft Security Intelligence Report.

グローバル禁止パスワード リストGlobal banned password list

Azure AD Identity Protection チームは、常に Azure AD セキュリティ テレメトリのデータを分析し、一般的に使用される脆弱なパスワードや侵害されたパスワード、すなわち脆弱なパスワードとしてよく使用される脆弱な基本用語を探しています。The Azure AD Identity Protection team constantly analyzes Azure AD security telemetry data looking for commonly used weak or compromised passwords, or more specifically, the weak base terms that often are used as the basis for weak passwords. このような脆弱な用語が見つかると、グローバル禁止パスワード リストに追加されます。When such weak terms are found, they are added to the global banned password list. グローバル禁止パスワード リストの内容は、どの外部データ ソースにも基づいていません。The contents of the global banned password list are not based on any external data source. グローバル禁止パスワード リストは、Azure AD のセキュリティ テレメトリと分析の継続的な結果のみに基づいています。The global banned password list is based entirely on the ongoing results of Azure AD security telemetry and analysis.

Azure AD のいずれかのテナントのいずれかのユーザーが新しいパスワードを変更またはリセットする場合、現在のバージョンのグローバル禁止パスワード リストがパスワードの強度を検証する際の主な入力として使用されます。Whenever a new password is changed or reset for any user in any tenant in Azure AD, the current version of the global banned password list is used as the key input when validating the strength of the password. この検証の結果、Azure AD のすべてのお客様のパスワードがはるかに強力になります。This validation results in much stronger passwords for all Azure AD customers.

注意

サイバー犯罪者も、攻撃の際に同じような戦略を使用します。Cyber-criminals also use similar strategies in their attacks. そのため、Microsoft はこのリストの内容を一般公開しません。Therefore Microsoft does not publish the contents of this list publicly.

カスタムの禁止パスワードの一覧Custom banned password list

組織によっては、グローバル禁止パスワード リストの上に、Microsoft がカスタムの禁止パスワード リストと呼ぶ独自のカスタマイズを追加することで、さらにセキュリティを改善することもできます。Some organizations may want to improve security even further by adding their own customizations on top of the global banned password list in what Microsoft calls the custom banned password list. この一覧に追加する用語は、主に組織固有の用語にすることをお勧めします。次に例を示します。Microsoft recommends that terms added to this list are primarily focused on organizational-specific terms such as:

  • ブランド名Brand names
  • 製品名Product names
  • 場所 (たとえば、本社など)Locations (for example, such as company headquarters)
  • 会社固有の内部用語Company-specific internal terms
  • 会社固有の意味を持つ略語Abbreviations that have specific company meaning.

カスタム禁止パスワード リストに用語を追加すると、パスワードを検証するときにグローバル禁止パスワード リストの用語と組み合わせられます。Once terms are added to the custom banned password list, they will be combined with the terms in the global banned password list when validating passwords.

注意

カスタムの禁止パスワードの一覧に含まれる用語は、最大 1000 個に制限されています。The custom banned password list is limited to having a maximum of 1000 terms. 非常に大きなパスワード リストをブロックできるようには設計されていません。It is not designed for blocking extremely large lists of passwords. カスタムの禁止パスワードの一覧の利点を十分に活用するためには、新しい用語をカスタム禁止リストに追加する前に、まずパスワード評価アルゴリズム (「パスワードの評価方法」を参照) を確認し、理解することをお勧めします。In order to fully leverage the benefits of the custom banned password list, Microsoft recommends that you first review and understand the password evaluation algorithm (see How are passwords evaluated) before adding new terms to the custom banned list. 企業がアルゴリズムの動作を理解することで、多数の脆弱なパスワードとそのバリエーションを効率的に検出してブロックできるようになります。Understanding how the algorithm works will enable your enterprise to efficiently detect and block large numbers of weak passwords and their variants.

例: ロンドンを拠点とする "Contoso" という名前の顧客が、"Widget" と名前の製品を作っているとします。For example: consider a customer named “Contoso”, that is based in London, and that makes a product named “Widget”. このような顧客では、以下のような用語やそのバリエーションをブロックしようとするのは、無駄であるだけでなく安全性も低くなります。For such a customer, it would be wasteful as well as less secure to try to block specific variations of these terms such as:

  • "Contoso!1""Contoso!1"
  • "Contoso@London""Contoso@London"
  • "ContosoWidget""ContosoWidget"
  • "!Contoso""!Contoso"
  • "LondonHQ""LondonHQ"
  • ...など...etcetera

その代わり、重要な基本用語のみをブロックした方がはるかに効率的もよく、安全です。Instead, it is much more efficient and secure to block only the key base terms:

  • "Contoso""Contoso"
  • "London""London"
  • "Widget""Widget"

パスワード検証アルゴリズムは、脆弱なパスワードや上記の組み合わせを自動的にブロックします。The password validation algorithm will then automatically block weak variants and combinations of the above.

カスタムの禁止パスワード リストとオンプレミス Active Directory 統合を有効にする機能は、Azure portal を使用して管理されます。The custom banned password list and the ability to enable on-premises Active Directory integration is managed using the Azure portal.

[認証方法] でカスタムの禁止パスワード リストを変更する

パスワード スプレー攻撃とサード パーティの侵害されたパスワード一覧Password spray attacks and third-party compromised password lists

Azure AD のパスワード保護の重要な利点の 1 つは、パスワード スプレー攻撃からの保護に役立つことです。One key Azure AD password protection benefit is to help you defend against password spray attacks. パスワード スプレー攻撃の大半は、どの個別のアカウントにも数回以上は攻撃しません。そのような動作をすると、アカウントのロックアウトやその他の手段によって検知される可能性が大幅に増加するためです。Most password spray attacks do not attempt to attack any given individual account more than a few times since such behavior greatly increases the likelihood of detection, either via account lockout or other means. そのため、ほとんどのパスワード スプレー攻撃では、企業の各アカウントに対して既知の最も弱いパスワードが数回だけ送信されます。The majority of password spray attacks therefore rely on submitting only a small number of the known weakest passwords against each of the accounts in an enterprise. この手法を使用すると、攻撃者は潜在的な検出限界を回避しながら、容易に侵害できるアカウントを短時間で検索できます。This technique allows the attacker to quickly search for an easily compromised account while at the same time avoiding potential detection thresholds.

Azure AD のパスワード保護は、パスワード スプレー攻撃で使用される可能性があるすべての既知の脆弱なパスワードを、Azure AD が取得した現実世界のセキュリティ テレメトリ データに基づいて効率的にブロックできるように設計されています。Azure AD password protection is designed to efficiently block all known weak passwords that are likely to be used in password spray attacks, based on real-world security telemetry data as seen by Azure AD. Microsoft は、数百万ものパスワードが列挙されているサード パーティの Web サイトに注目しています。これらのパスワードは、広く知られている以前のセキュリティ違反によって侵害されたものです。Microsoft is aware of third-party websites that enumerate millions of passwords that have been compromised in previous publicly known security breaches. サード パーティ製のパスワード検証製品では、これら数百万個のパスワードとのブルート フォースによる比較を行うのが一般的です。It is common for third-party password validation products to be based on brute-force comparison against those millions of passwords. Microsoft は、パスワード スプレー攻撃の攻撃者が使用する一般的な戦略を踏まえれば、このような手法はパスワードの強度を向上させる最善の方法ではないと感じています。Microsoft feels that such techniques are not the best way to improve overall password strength given the typical strategies used by password spray attackers.

注意

Microsoft のグローバル禁止パスワード リストは、侵害されたパスワードのリストを含め、いかなるサード パーティ製のデータ ソースにも基づいていません。The Microsoft global banned password list is not based whatsoever on any third-party data sources, including compromised password lists.

Microsoft のグローバル禁止リストは一部のサード パーティ製の巨大なリストと比べれば小さめですが、実際のパスワード スプレー攻撃による現実世界のセキュリティ テレメトリに基づいているという事実と、Microsoft のパスワードの検証アルゴリズムはスマートなあいまい一致の手法を使用しているという事実から、セキュリティ効果が増幅されます。Although the Microsoft global banned list is small in comparison to some third-party bulk lists, its security effects are amplified by the fact that it is sourced from real-world security telemetry on actual password spray attacks, plus the fact that the Microsoft password validation algorithm uses smart fuzzy-matching techniques. 最終的な結果として、特によく使われる脆弱なパスワードを効率的に検出し、企業で使用されることがないようにブロックします。The end result is that it will efficiently detect and block millions of the most common weak passwords from being used in your enterprise. カスタム禁止パスワード リストに組織に固有の用語を追加するお客様も、同じアルゴリズムを活用できます。Customers who choose to add organization-specific terms to the custom banned password list also benefit from the same algorithm.

パスワードベースのセキュリティの問題に関する追加情報は、「パスワードの問題ではない」で確認できます。Additional information on password-based security issues may be reviewed at Your Pa$$word doesn't matter.

オンプレミスのハイブリッド シナリオOn-premises hybrid scenarios

クラウドのみのアカウントを保護することは有用ですが、多くの組織では、オンプレミスの Windows Server Active Directory などのハイブリッド シナリオを維持しています。Protecting cloud-only accounts is helpful but many organizations maintain hybrid scenarios including on-premises Windows Server Active Directory. Azure AD のパスワード保護のセキュリティ上の利点は、オンプレミスのエージェントをインストールすることによって、Windows Server Active Directory 環境にも拡張できます。The security benefits of Azure AD password protection may also be extended into your Windows Server Active Directory environment via the installation of on-premises agents. これで、Active Directory のパスワードを変更またはリセットするユーザーと管理者は、クラウドのみのユーザーと同じパスワード ポリシーに準拠することが必須になります。Now users and administrators who change or reset passwords in Active Directory are required to comply with the same password policy as cloud-only users.

パスワードの評価方法How are passwords evaluated

ユーザーが自分のパスワードを変更またはリセットするたびに、グローバルとカスタムの禁止パスワード リスト (後者が構成されている場合) から結合された用語リストに対して新しいパスワードを検証することで、その強度と複雑さがチェックされます。Whenever a user changes or resets their password, the new password is checked for strength and complexity by validating it against the combined list of terms from the global and custom banned password lists (if the latter is configured).

ユーザーのパスワードに禁止パスワードが含まれている場合でも、パスワード全体が十分に強力な場合は、そのパスワードが受け入れられる可能性があります。Even if a user’s password contains a banned password, the password may still be accepted if the overall password is strong enough otherwise. 新しく構成されたパスワードは、受け入れるべきか拒否すべきかを決定するために、次の手順を踏んで全体的な強度が評価されます。A newly configured password will go through the following steps to assess its overall strength to determine if it should be accepted or rejected.

手順 1:正規化Step 1: Normalization

新しいパスワードは、まず、正規化プロセスを完了します。A new password first goes through a normalization process. この手法により、少数の禁止パスワードを、脆弱な可能性のある非常に大きいパスワードのセットにマップすることができます。This technique allows for a small set of banned passwords to be mapped to a much larger set of potentially weak passwords.

正規化は、2 つの部分に分かれています。Normalization has two parts. 最初に、すべて大文字の文字が小文字に変更されます。First, all uppercase letters are changed to lower case. 次に、次の例のように、共通の文字置換が実行されます。Second, common character substitutions are performed, for example:

元の文字Original letter 置換される文字Substituted letter
'0''0' 'o''o'
'1''1' 'l''l'
'$''$' 's''s'
'@''@' 'a''a'

例: “blank” というパスワードが禁止されていて、ユーザーがパスワードを "Bl@nK" に変更しようとしているとします。Example: assume that the password “blank” is banned, and a user tries to change their password to “Bl@nK”. "Bl@nk" が特に禁止されていないとしても、正規化プロセスによりこのパスワードは、禁止パスワードである "blank" に変換されます。Even though “Bl@nk” is not specifically banned, the normalization process converts this password to “blank”, which is a banned password.

手順 2:パスワードが禁止と見なされるかどうか確認するStep 2: Check if password is considered banned

あいまい一致の動作Fuzzy matching behavior

あいまい一致は、グローバルまたはカスタムのいずれかの禁止パスワード リストにあるパスワードが含まれているかどうかを確認するために、正規化されたパスワードに対して使用されます。Fuzzy matching is used on the normalized password to identify if it contains a password found on either the global or the custom banned password lists. 一致プロセスは、編集距離 1 の比較に基づいています。The matching process is based on an edit distance of one (1) comparison.

例: “abcdef” というパスワードが禁止されていて、ユーザーが自分のパスワードを次のいずれかに変更しようとしているとします。Example: assume that the password “abcdef” is banned, and a user tries to change their password to one of the following:

'abcdeg'     (最後の文字を 'f' から 'g' に変更) 'abcdefg'   * (末尾に 'g' を追加)* 'abcde'     * (末尾の 'f' を末尾から削除)*‘abcdeg’    (last character changed from ‘f’ to ‘g’) ‘abcdefg’   ’(g’ appended to end) ‘abcde’     (trailing ‘f’ was deleted from end)

上のパスワードのそれぞれは、厳密に言えば禁止パスワード "abcdef" に一致しません。Each of the above passwords does not specifically match the banned password "abcdef". ただし、それぞれの例は禁止されている用語 'abcdef' の編集距離 1 以内にあるため、これらはすべて "abcdef" に一致するものと見なされます。However, since each example is within an edit distance of 1 of the banned term ‘abcdef’, they are all considered as a match to “abcdef”.

部分文字列の照合 (特定の条件下)Substring matching (on specific terms)

部分文字列の照合は、正規化されたパスワードに対して、ユーザーの氏名とテナント名を確認するために使用されます (テナント名の照合は、Active Directory ドメイン コントローラー上でパスワードを検証する場合は行われないことに注意してください)。Substring matching is used on the normalized password to check for the user’s first and last name as well as the tenant name (note that tenant name matching is not done when validating passwords on an Active Directory domain controller).

例: Pol というユーザーが、自分のパスワードを "P0l123fb" にリセットしようとしているとします。Example: assume that we have a user, Pol, who wants to reset their password to “P0l123fb”. 正規化後、このパスワードは "pol123fb" になります。After normalization, this password would become “pol123fb”. 部分文字列の照合により、このパスワードにはユーザーの名前 "Pol" が含まれることがわかります。Substring matching finds that the password contains the user’s first name “Pol”. "P0l123fb" は厳密にはどちらの禁止パスワード リストにも含まれていませんが、部分文字列の照合ではパスワード内に "Pol" が見つかりました。Even though “P0l123fb” was not specifically on either banned password list, substring matching found “Pol" in the password. そのため、このパスワードは拒否されます。Therefore this password would be rejected.

スコアの計算Score Calculation

次の手順では、ユーザーの正規化された新しいパスワード内の、禁止されたパスワードのすべてのインスタンスを特定します。The next step is to identify all instances of banned passwords in the user's normalized new password. その後、以下を実行します。Then:

  1. ユーザーのパスワードに含まれる各禁止パスワードには、1 ポイントが与えられます。Each banned password that is found in a user’s password is given one point.
  2. 残りの一意の各文字には、1 ポイントが与えられます。Each remaining unique character is given one point.
  3. パスワードが受け入れられるには、少なくとも 5 ポイント必要です。A password must be at least five (5) points for it to be accepted.

次の 2 つの例では、Contoso が Azure AD のパスワード保護を使用していて、カスタム リストに "contoso" が含まれていると仮定します。For the next two examples, let’s assume that Contoso is using Azure AD Password Protection and has “contoso” on their custom list. また、”blank" がグローバル リストに含まれていることも仮定します。Let’s also assume that “blank” is on the global list.

例: ユーザーが自分のパスワードを “C0ntos0Blank12” に変更しますExample: a user changes their password to “C0ntos0Blank12”

正規化後、このパスワードは “contosoblank12” になります。After normalization, this password becomes “contosoblank12”. 照合プロセスにより、このパスワードには contoso と blank という 2 つの禁止パスワードが含まれていることがわかります。The matching process finds that this password contains two banned passwords: contoso and blank. このパスワードには以下のスコアが与えられます。This password is then given a score:

[contoso] + [blank] + [1] + [2] = 4 ポイント。このパスワードは 5 ポイント未満のため、拒否されます。[contoso] + [blank] + [1] + [2] = 4 points Since this password is under five (5) points, it will be rejected.

例: ユーザーが自分のパスワードを “ContoS0Bl@nkf9” に変更します。Example: a user changes their password to “ContoS0Bl@nkf9!”.

正規化後、このパスワードは “contosoblankf9!” になります。After normalization, this password becomes “contosoblankf9!”. 照合プロセスにより、このパスワードには contoso と blank という 2 つの禁止パスワードが含まれていることがわかります。The matching process finds that this password contains two banned passwords: contoso and blank. このパスワードには以下のスコアが与えられます。This password is then given a score:

[contoso] + [blank] + [f] + [9] + [!] = 5 ポイント。このパスワードは 5 ポイント以上であるため、受け入れられます。[contoso] + [blank] + [f] + [9] + [!] = 5 points Since this password is at least five (5) points, it is accepted.

重要

禁止パスワード アルゴリズムとグローバル リストは、継続的なセキュリティ分析および調査に基づいて Azure でいつでも変更できることに注意してください。Please note that the banned password algorithm along with the global list can and do change at any time in Azure based on ongoing security analysis and research. オンプレミスの DC エージェント サービスの場合、更新されたアルゴリズムは DC エージェント ソフトウェアが再インストールされた後でのみ有効になります。For the on-premises DC agent service, updated algorithms will only take effect after the DC agent software is re-installed.

ライセンスの要件License requirements

グローバル禁止パスワード リストを使用した Azure AD パスワードの保護Azure AD password protection with global banned password list カスタム禁止パスワード リストを使用した Azure AD パスワードの保護Azure AD password protection with custom banned password list
クラウド専用ユーザーCloud-only users Azure AD FreeAzure AD Free Azure AD Premium P1 または P2Azure AD Premium P1 or P2
オンプレミスの Windows Server Active Directory から同期されたユーザーUsers synchronized from on-premises Windows Server Active Directory Azure AD Premium P1 または P2Azure AD Premium P1 or P2 Azure AD Premium P1 または P2Azure AD Premium P1 or P2

注意

Azure Active Directory に同期されていないオンプレミスの Windows Server Active Directory ユーザーも、同期されたユーザーに対する既存のライセンスに基づく Azure AD のパスワード保護の利点を利用します。On-premises Windows Server Active Directory users that not synchronized to Azure Active Directory also avail the benefits of Azure AD password protection based on existing licensing for synchronized users.

追加のライセンス情報 (コストを含む) については、「Azure Active Directory の価格」を参照してください。Additional licensing information, including costs, can be found on the Azure Active Directory pricing site.

ユーザーに表示される画面What do users see

ユーザーがパスワードを禁止されるパスワードにリセットしようとすると、次のエラー メッセージが表示されます。When a user attempts to reset a password to something that would be banned, they see the following error message:

残念ながら、パスワードを簡単に推測できる単語、語句、またはパターンが含まれています。Unfortunately, your password contains a word, phrase, or pattern that makes your password easily guessable. 別のパスワードで再実行してください。Please try again with a different password.

次の手順Next steps