パスワードの新常識「15文字以上」「定期的変更要求ダメ」「大文字・記号要求ダメ」

　NIST・アメリカ国立標準技術研究所が、パスワードのガイドラインを2025年夏にアップデートしました。新しいガイドライン「SP 800-63B-4 Digital Identity Guidelines」は、デジタル認証に関する世界的な基準文書です。

　この文書はアメリカ政府機関だけでなく、金融機関・グローバル企業の多くが、実質的な設計基準として参照するものです。またNISTのガイドラインは世界中の政府・企業が見習っているもの。今後、日本でもパスワードのお手本になるものです。

　NISTのガイドラインの最大の特徴は、ガチガチのお約束を守らせるのではなく、誰が使っても危険性を最小限にする仕組みになっていることです。ガチガチのお約束とは、例えば過去にあった「パスワードを定期的に変更せよ」だったり、「大文字、小文字、記号、数字を全部入れろ」などというユーザーを面倒にさせるものです。これらは実際にはパスワードを弱くしてしまうことがわかっており、今回のガイドラインで明確に否定されています。

　今回のガイドラインの主な特徴を以下にまとめました。旧来言われてきた「お約束」との対比を表にしています。

　パスワードの定期的変更を呼びかけてはいけない、ということは多くの人が知っているでしょう。しかし今回はさらにパスワードの文字数は15文字以上、文字種は増やすべきではないことが新たに明記されています。一つずつ見てみましょう。

　これまで多くのネットバンキング・企業のシステムでは、「パスワードは一定期間ごとに変更させるもの」という運用が当たり前でした。90日ごと、あるいは半年ごとに変更を強制し、変更しなければログインできない仕組みを導入しているケースも珍しくありません。

　しかしNISTの新しいガイドラインでは、定期的な変更を要求してはならないと明確に書かれています。2017年のガイドラインでは「Should not＝すべきではない」という表記でしたが、今回の新ガイドラインでは「Shall not＝してはならない」つまり「禁止」になったのです。

　定期的変更はパスワードを弱くすることは以前から言われてきました。定期的変更を要求すると、人間は単純化して末尾の数字だけを変える、記号を付け替える、あるいは紙に書いて机に貼るといったことをしてしまいます。パスワードを単純化して危険なものにするのです。社員は一つだけのシステムを使うのではありません。多数のシステム、多数のサービスを使いこなすわけで，その度に定期的変更を要求されれば、さらに単純行動＝回避行動をするでしょう。

　NISTは、こうした「人間らしい回避行動」こそが最大のリスクであると指摘しています。そのため、パスワード変更を強制すべきなのは「侵害された、または侵害された可能性が高い場合」に限るとしています。

　この考え方は、アメリカだけの話ではありません。総務省が公開している一般向け・組織向けのセキュリティ資料でも、同様の方針が段階的に示されています。

　総務省が運営する「国民のためのサイバーセキュリティサイト」では、以下のような流れでパスワード運用の考え方が更新されてきました。

　つまり、定期的変更を求めないという考え方は、すでに日本国内の行政ガイドラインにおいても6年以上前から示されているのです。

　あなたの企業のシステムが未だに定期的変更を要求しているとしたら「とっくに昔にダメと言われている危険ルール」を企業が強制していることになります。つまりあなたの企業のシステムは「弱いパスワードを生む元凶」ともなっているのです。今すぐ認証の仕組みを抜本的に見直すことを始めてください。

　多くの企業システムでは、今も「英大文字・英小文字・数字・記号をすべて含めること」が必須条件となっています。ネットサービスやSNSの多くも、この「複数の文字種類を入れろ」が目立ちます。

　一見すると厳格で安全そうに見えますが、NISTではこうした構成ルールを課してはならないと明記しています。

　NISTが問題視しているのは、人がルールに従おうとした結果、似たようなパスワードが大量に生まれてしまう点です。先頭を大文字にしたり、末尾に「?」や「!」を付けてごまかすという点です。このようなパターンは、攻撃者が最初に試す典型例と言えるでしょう。NISTは、見た目の複雑さよりも、推測されにくさそのものを重視すべきだと述べています。

　大文字や記号は不要で、アルファベットと数字だけでいいのです。つまり文字種を強制してはいけません。文字種を増やすよりも、パスワードを1桁でも長くしたほうが強度が高まるからです。

　NISTが最も繰り返し強調しているのが、パスワードの長さです。ガイドラインでは、単一要素認証として使用する場合は最低15文字以上、多要素認証の一部として使用する場合でも最低8文字以上を求めるべきだとしています。
　NISTでは、攻撃者が入手したパスワードハッシュを用いて行うオフライン解析において、長さが計算量に与える影響が極めて大きいと説明しています。文字種を増やすよりも、単純に文字数を増やした方が、攻撃に必要な時間が飛躍的に長くなるからです。
　一つ前の大文字・小文字、記号などを要求するよりも、一桁増やすほうがより安全になります。パスワードは長ければ長いほどいい、最低でも15文字と覚えておきましょう。

　またNISTでは、少なくとも64文字の最大パスワード長を許可すべき（SHOULD）としています。今後作るシステムでは64文字のパスワードを許容するように設計するべきです。

　あわせて今回のガイドラインはスペースなども使えるようにすることが書かれています。これは文章でパスワードを作るパスフレーズに対応するためです。日本ではあまり呼びかけられていませんが、パスフレーズのためにも最低でも64文字までのパスワードを許容するようにしたいものです。

　NISTのガイドラインでは、利用者が設定しようとするパスワードが明らかに危険な場合、それを受け付けてはならないとしています。過去に漏えいしたことがあるパスワード、辞書に載っている単語のみで構成されたもの、ユーザー名や会社名を含むものなどが該当します。

　これらのブロックリスト＝禁止リストとして参照することを「しなければならない（Shall）」という強い表記で義務化しています。

　ブロックリストに入れるのは以下のものです。

　これらが完全一致でパスワードが使われている場合には、システムが拒否し、その理由を表示することを明示するよう求めています。

　今までのシステムでは、前回使ったパスワードや単純パスワードだけをブロックリストに入れていたでしょう。新たに過去の侵害データや辞書単語を入れるように変更しましょう。これによりパスワードリスト型攻撃（同じパスワードを流用するユーザーを狙う攻撃）への耐性がアップするはずです。

　企業システムでは、「ルールを満たしていれば通してしまう」設計が多く見られます。しかしNISTは、利用者の判断に委ねるのではなく、システム側が危険な選択肢を排除するべきだと明確に述べています。これは、注意喚起や教育に頼らないセキュリティ設計への転換だと考えてもいいでしょう。

　NIST SP 800-63B-4では、パスワードマネージャーの利用を妨げてはならないことも明記されています。貼り付け禁止や自動入力禁止といった制限は、結果として使い回しや簡易化を助長する可能性があるとされています。

　現代の業務環境では、一人の利用者が数十以上のサービスを使うことが当たり前です。すべてを人の記憶に頼る運用は、すでに現実的ではありません。NISTは、パスワードマネージャーを前提に設計することで、サービスごとに異なる長く安全なパスワードを運用できると説明しています。

　一部のサービスに見られる「コピペ禁止」のパスワード入力欄は、明らかに危険です。パスワードマネージャーの利用ができないからです。

　NIST、そして総務省を含む国内外のガイドラインが共通して示しているのは、「人に無理をさせるセキュリティは破綻する」という現実です。定期的な変更、形式的な複雑性、記憶前提の運用は、すでに過去のものになりつつあります。
　これからのパスワード運用では、長さを重視し、危険な選択肢をシステム側で排除し、管理ツールの利用を前提とした設計が求められます。これは妥協ではなく、実際の事故を減らすために導き出された結論です。
　残念ながら私たちユーザーがこれを実行しようにも、システムが古いと対応できません。今回のガイドラインは、認証系を作るすべての設計者、そしてシステムを作る責任者・経営者に向けたものです。

　このガイドラインとは逆の「定期的変更強制」「コピペ禁止」「文字種4種類強制」を行っている場合、それはパスワードを弱くする、つまり攻撃に弱くすることを企業側がやっていることになります。

　その認証系は明らかに時代遅れで危険です。銀行であろうがクレジットカードであろうが、企業のシステムであろうが、危険な時代遅れのシステムをすぐにやめ、NISTに準じたより安全なものに変えましょう。