【Windows】パスワード入力の「試行回数」に制限を設けて強引な侵入を防ぐ手順

ビジネスで利用するPCへの不正アクセスは、情報漏洩のリスクを高めます。パスワードを強引に試行するブルートフォースアタックは、セキュリティ上の大きな脅威です。

Windowsのパスワード試行回数制限を設定することで、このような不正な侵入を未然に防げます。

この記事では、Windows 11を基準に、パスワード試行回数制限を有効にする具体的な手順を詳しく解説します。

Windowsのパスワード試行回数制限機能の概要とセキュリティへの影響

Windowsには、パスワードの不正な試行を制限するセキュリティ機能が備わっています。

この機能は「アカウントロックアウトポリシー」と呼ばれ、総当たり攻撃や辞書攻撃といったブルートフォースアタックからPCを保護します。

設定された回数以上にパスワード入力に失敗すると、そのアカウントは一時的にロックアウトされます。

ロックアウト期間中は、たとえ正しいパスワードを入力してもログインできません。

この設定は、特に業務で機密情報を扱うビジネスPCにとって、非常に重要なセキュリティ対策です。

アカウントロックアウトポリシーの仕組み

アカウントロックアウトポリシーは、主に以下の3つの設定項目で構成されます。

これらの設定を適切に行うことで、セキュリティと利便性のバランスを取れます。

不正なログイン試行を検知し、自動的にアカウントを保護する仕組みです。

アカウントロックアウトのしきい値

パスワード入力に失敗できる回数を指定します。

この回数を超えると、アカウントがロックアウトされます。

たとえば「5」と設定した場合、6回目の失敗でロックアウトが適用されます。

「0」に設定すると、アカウントはロックアウトされなくなります。

アカウントロックアウトカウンターをリセットする時間

不正なパスワード試行の回数をリセットするまでの時間を分単位で指定します。

この時間内にロックアウトしきい値を超えると、アカウントがロックされます。

たとえば「30分」と設定した場合、30分間パスワード入力を試行しなければ、失敗回数がリセットされます。

アカウントロックアウト期間

ロックアウトされたアカウントが、自動的に解除されるまでの時間を分単位で指定します。

「0」に設定すると、アカウントは管理者による手動解除が必要になります。

セキュリティを重視する場合は「0」を設定し、管理者が解除する運用も検討できます。

Windowsでパスワード試行回数制限を設定する手順

ここでは、ローカルセキュリティポリシーエディターを使って、パスワード試行回数制限を設定する手順を解説します。

この設定は、Windows 11 ProまたはEnterpriseエディションで利用できます。

Windows 10の場合も、同様の手順で設定が可能です。

ローカルセキュリティポリシーを開く

1. 「ファイル名を指定して実行」を開く
   WindowsキーとRキーを同時に押します。
2. コマンドを入力する
   表示されたダイアログに「secpol.msc」と入力し、「OK」ボタンをクリックします。
   「ローカルセキュリティポリシー」ウィンドウが開きます。

アカウントロックアウトポリシーを設定する

1. 「アカウントポリシー」を展開する
   左側のナビゲーションペインで「セキュリティの設定」を展開し、「アカウントポリシー」をクリックします。
2. 「アカウントロックアウトポリシー」を選択する
   「アカウントポリシー」の下にある「アカウントロックアウトポリシー」をクリックします。
3. 「アカウントロックアウトのしきい値」を設定する
   右側のペインで「アカウントロックアウトのしきい値」をダブルクリックします。
   「アカウントロックアウトのしきい値のプロパティ」ウィンドウが開きます。
   「アカウントのロックアウトを引き起こすログオン失敗の回数」に任意の数値を入力し、「OK」をクリックします。
   推奨値は「3」から「5」程度です。
   この値を変更すると、関連する他の設定も自動的に推奨値に更新を促されます。
   「はい」をクリックして、推奨値を適用してください。
4. 「アカウントロックアウトカウンターをリセットする時間」を設定する
   「アカウントロックアウトカウンターをリセットする時間」をダブルクリックします。
   「アカウントロックアウトカウンターをリセットする時間のプロパティ」ウィンドウが開きます。
   「ロックアウトカウンターをリセットする時間」に分単位で数値を入力し、「OK」をクリックします。
   推奨値は「30」分です。
   この時間内にロックアウトしきい値を超えると、アカウントがロックされます。
5. 「アカウントロックアウト期間」を設定する
   「アカウントロックアウト期間」をダブルクリックします。
   「アカウントロックアウト期間のプロパティ」ウィンドウが開きます。
   「アカウントのロックアウト期間」に分単位で数値を入力し、「OK」をクリックします。
   推奨値は「30」分です。
   「0」に設定すると、管理者が手動でロック解除するまでアカウントはロックされたままになります。
   セキュリティレベルに応じて適切な値を設定してください。
6. 設定を適用する
   すべての設定が完了したら、「ローカルセキュリティポリシー」ウィンドウを閉じます。
   設定はすぐに有効になります。

パスワード試行回数制限設定時の注意点と運用上の考慮事項

パスワード試行回数制限はセキュリティを強化する有効な手段ですが、設定によっては利便性を損なう場合があります。

運用上の注意点と考慮すべき事項を理解し、適切に設定してください。

正規のユーザーがロックアウトされてしまう

パスワード試行回数のしきい値を厳しく設定しすぎると、正規のユーザーがパスワードを間違えただけでロックアウトされてしまうことがあります。

パスワード忘れや入力ミスが多い環境では、ユーザーの業務を妨げる原因になります。

対処法: しきい値は「3」から「5」程度が一般的です。ユーザーのパスワード管理状況を考慮して、適切な値を設定してください。
アカウントロックアウト期間を短く設定することで、自動解除までの時間を短縮できます。

Windows 10 Homeエディションでは設定できない

ローカルセキュリティポリシーエディターは、Windows 11 Pro/EnterpriseおよびWindows 10 Pro/Enterpriseエディションで利用できる機能です。

Windows 10 Homeエディションでは、このツールは標準で提供されていません。

対処法: Windows 10 Homeエディションで同様のセキュリティ強化を行う場合は、レジストリを直接編集する方法もありますが、非常に専門的な知識が必要です。
誤った操作はシステムに深刻な影響を与えるため、推奨されません。
セキュリティを重視する場合は、Proエディション以上の利用を検討してください。

ドメイン環境での設定はActive Directoryが優先される

PCがActive Directoryドメインに参加している場合、ドメインコントローラーで設定されているグループポリシーが優先されます。

ローカルセキュリティポリシーで設定した内容よりも、ドメインポリシーが適用されます。

対処法: ドメイン環境でパスワード試行回数制限を変更する場合は、Active Directoryのグループポリシー管理ツールから設定を行ってください。
個々のPCでローカルポリシーを変更しても、ドメインポリシーによって上書きされます。

Windows 11とWindows 10におけるアカウントロックアウトポリシーの比較

Windows 11とWindows 10のどちらのバージョンでも、アカウントロックアウトポリシーの基本的な機能と設定方法は共通です。

しかし、適用されるアカウントの種類や設定値の推奨には考慮すべき点があります。

項目	Windows 11 / 10 Pro・Enterprise	Windows 11 / 10 Home
設定ツール	ローカルセキュリティポリシーエディター	標準ツールなし
適用範囲	ローカルアカウントに適用。ドメイン参加時はドメインポリシーが優先	ローカルアカウントに適用。Microsoftアカウントには直接適用されない
推奨しきい値	3回から5回程度の失敗でロックアウト	設定不可のため、パスワード強度や二段階認証で対策
ロックアウト期間	30分から無期限(管理者解除)	設定不可
セキュリティレベル	高い。ブルートフォースアタックへの直接的な防御	低い。アカウントロックアウト機能が利用できない

まとめ

この記事で解説した手順により、Windowsのパスワード試行回数制限を設定し、PCへの不正な侵入リスクを軽減できます。

アカウントロックアウトポリシーは、ブルートフォースアタックに対する強力な防御策です。

自社のセキュリティポリシーに合わせて、アカウントロックアウトのしきい値や期間を適切に設定し、情報資産を保護しましょう。

定期的な設定の見直しと、他のセキュリティ機能との組み合わせで、より強固なセキュリティ環境を構築できます。