近年、大手企業がサイバー攻撃の被害を受ける事件がよく報道されるようになりました。 生成AIの影響も含めサイバー攻撃が多様化し、これまでのパスワード設定の常識が見直されつつあります。では、どのようにすればセキュリティ強度を高められるのでしょうか? この記事では、日本の官公庁や大手企業などでもセキュリティ対策の参考にすることが多いNIST(アメリカ国立標準技術研究所)の最新ガイドラインをベースに、新たなパスワードの設定方法や管理方法などを解説。パスワードに関する“新常識”を紹介します。
ライター:CLIP編集部
あなたにピッタリのインターネットは?
NISTとは
NIST(ニスト)とは「National Institute of Standards and Technology」の略称で、アメリカの国立標準技術研究所のこと。技術や情報セキュリティに関する標準化を行っている政府機関で、暗号・認証・リスク管理といった分野で世界的に影響力のあるガイドラインを発行しています。
NISTはデジタル・アイデンティティに関するガイドライン「SP 800-63」シリーズを継続的に更新しています。2025年7月、そのNISTが「NIST SP 800-63-4」(電子的認証に関するガイドライン)を約3年ぶりに更新。デジタルアイデンティティガイドラインと、A・B・Cという3つの付属文書があり、それらが刷新されました。
「NIST SP 800-63-4」では「デジタルアイデンティティリスク管理(DIRM)」の考え方を新たに導入。特に、パスワードに関する要件(付属文書B、SP 800-63B-4「認証とライフサイクル管理」)の刷新が話題になっています。
NISTが示すパスワード設定の最新ポイント
複雑さよりも長さが重要
従来のパスワードの方式では「8文字以上で、記号・数字・大文字・小文字をすべて含める」といった複雑性が求められていましたが、逆に「Password1!」といったようなパスワードの単純化、パターン化を招いてしまう傾向にありました。
NISTの最新ガイドラインでは、単独認証として使用するパスワードは15文字以上を推奨。パスワードの複雑性ではなく、単純に文字数を増やすほど総当たり攻撃に強くなるとしています。パスワードだけに依存しない多要素認証(MFA)と併用するパスワードは、セキュリティ上のリスクが軽減されるため、8文字以上を推奨しています。
また、パスワードの文字数を固定することは攻撃者にとって的が絞りやすくなるため、64文字以上の入力を許容。長いパスワード(パスフレーズ)を設定することで、セキュリティをより強化することができます。
定期的なパスワード変更は原則不要
これまでは定期的にパスワードの変更を求められていましたが、結果としてパスワードの使い回しや安易な変更を招くことがありました。NISTの最新ガイドラインではパスワードが侵害された場合のみ、パスワード変更の強制を推奨しています。
パスワードのヒントや秘密の質問は非推奨
パスワードの回復方法などでよく使われていた「パスワードのヒント」や「秘密の質問」も非推奨・廃止される流れになっています。パスワードのヒントは文字数や規則性、パスワードに使用している単語を示してしまい、かえって攻撃者に手がかりを与えてしまうことも。秘密の質問は、回答がインターネットやSNSなどで検索すれば簡単に調べられ、一度漏えいしてしまうと「出身地」や「母親の旧姓」などは変更できないため安全性が高いとは言えません。
NISTの最新ガイドラインでは、パスワードの回復はメールやテキスト、音声などで送信される回復コードやURLリンクなどで行うべきとしています。
従来の方式とNISTの新指針
| パスワードの要件 | 従来の方式 | NISTの新指針 |
| 長さ | 8文字以上 | 単一要素認証の場合:15文字以上(さらに64文字以上の入力を許容) 多要素認証の場合:8文字以上 |
| 複雑さ | 英大文字・小文字・数字・記号の混在が必須 | 構成ルールは不要 |
| 変更頻度 | 30~90日(定期的、強制的に変更を求める) | 侵害が確認された場合のみ |
| 回復方法 | パスワードのヒント、秘密の質問 | 回復コード、URLリンクなどの利用 |
今後の主流となるパスワードとは
長いパスフレーズ(15文字以上のパスワード)
パスワードは複雑で短いものよりも、覚えやすい15文字以上のパスワードやパスフレーズが推奨されます。まずは、セキュリティの安全性を高めるうえで「長さ」が最優先となるでしょう。
ただしパスワードには家族の名前や出身地、誕生日や電話番号、ペットの名前など、インターネットやSNSなどで特定されやすいワードを含めるのは避けましょう。
パスワード作成で悩んでいる人は、パスワード生成ツールを利用するのも一つ。Google ChromeやMicrosoft Edgeなどのインターネットブラウザに搭載されたパスワードの生成・管理機能や、パスワードのカスタマイズや大量生成が可能なオンラインツールなどさまざまな種類があるので、利用しやすいツールを探してみてください。
多要素認証との併用
多要素認証とは認証の3要素である「知識情報」「所持情報」「生体情報」のうち、2つ以上を組み合わせて認証すること。重要なアカウントにはパスワードだけでなく、ログイン保護のためパスキーやワンタイムパスワードといった多要素認証を導入することで、セキュリティをより強化することが大事です。例えば、金融庁はフィッシング耐性のあるパスキーなどを使った多要素認証の義務化を推進しています。
デジタルアイデンティティリスク管理の考え方が導入されたNISTの最新ガイドラインでは、パスワードは「当人認証の保証レベルとしては最もレベルが低い」という位置づけです。今後は多要素認証の義務化、とりわけパスキーなどとの併用が主流になっていくでしょう。
パスワードの保管方法
パスワードマネージャーの活用
パスワードマネージャーとは、さまざまなオンラインアカウントのログインIDとパスワード情報をスマホやパソコン、クラウドに保存・管理するパスワード管理ツールです。
複数のアカウントのログイン情報を一元管理することが可能。強度の高いパスワードを自動生成する機能を備えているものも多いので、ユーザーがパスワードを記憶する必要がなく、パスワードの使い回しも防ぐことができます。
代表的なツールは、Googleパスワードマネージャー、iCloudキーチェーン、1Password、Bitwardenなどさまざま。選ぶ基準としては、「多要素認証に対応している」「高度な暗号化技術を採用している」「定期的なセキュリティ監査を受けている」といった条件を満たしているツールを選ぶと良いでしょう。
ロック機能でガード
ロック機能とは一定条件を満たすまでパスワードやアカウントを使えなくするセキュリティ機能のことで、不正アクセスの防止を目的としています。主なロック機能はアカウントロック、端末・画面ロック、パスワードマネージャーロックの3つが一般的です。
企業によってはルールを定めていることもあるので、保管する際は情報システムの管理者に相談・確認してみましょう。
まとめ
従来のパスワードの方式は、パスワードの単純化・パターン化を招き、攻撃者につけ入るスキを与えてしまう結果となっていました。
直近で発表されたNISTの最新ガイドラインでは、複雑さよりも長さ、定期的なパスワード変更やパスワードのヒントなども非推奨といったように、ユーザーにとって扱いやすくセキュリティも強められる施策が示されています。
ただし単独認証のパスワードは当人認証の保証レベルが低いと位置づけられています。そのためパスワードの作成を工夫するだけでなく、多要素認証やパスワードマネージャーなどと併用し、セキュリティ強度を高めることが大切です。ここで記した内容を参考に、今できる最大限の対策を行いましょう。
【関西でネット回線をお探しなら】
eo光は18年連続お客さま満足度 No.1!※
※RBB TODAY ブロードバンドアワード2024 キャリア部門 エリア別総合(近畿)第1位(2025年1月発表)
2007年~2024年18年連続受賞。
※上記掲載の情報は、取材当時のものです。掲載日以降に内容が変更される場合がございますので、あらかじめご了承ください。
