パスワードの方針に変化が！？

2025年7月31日に、NIST「Digital Identity Guidelines」第4版（SP 800-63B-4）が最終化されました。パスワード（NISTは今回“memorized secret”ではなく“password”に呼称統一）に関する要求が実務に直結するレベルで更新されています。まず結論から。NISTコンピュータセキュリティ資源センター

3つの最重要ポイント

1. 単要素（パスワードのみ）で使うなら最小長は15文字
   　Rev.4では、パスワードを単独の認証要素として使う場合、15文字以上を必須化。
   多要素（MFA）の一要素として使う場合は8文字以上。NIST技術シリーズ出版物
2. 「複雑性ルール」は課してはいけない（禁止のニュアンスに強化）
   　“英大文字/小文字/数字/記号を必ず混ぜよ”といった構成（composition）要件は不可。
   代わりに「ブロックリスト（よく使われる／推測されやすい／漏えい済みのパスワード）照合は必須」という方針が明確です。NIST技術シリーズ出版物
3. 定期的なパスワード変更を原則廃止
   　定期的なパスワード変更は不要。変更は漏えい・侵害の兆候がある場合に限定します。
   ユーザビリティ指針にも同旨が記載されました。NIST技術シリーズ出版物

参考記事（英語）でも上記の読み替えが紹介されていますが、実装判断は必ずNIST本文を一次情報として確認してください。t.co

---

実装チェックリスト（今日から方針に落とす）

• 最小長：
  　単要素用途は15文字以上をシステム側で強制。多要素用途では要件緩和可（ただし短すぎない設計）。NIST技術シリーズ出版物
• 受け入れ文字：
  　ASCIIに限定せず、空白やUnicode含む自然言語の“長いフレーズ”を許容（パスフレーズ文化へ）。t.co
• 構成ルール撤廃：
  　「記号必須」「連続文字禁止」などの機械的ルールは設定禁止。NIST技術シリーズ出版物
• ブロックリスト必須：
  　漏えいデータ・よく使われるパスワード・組織名/サービス名・個人情報の派生などを含むNGリストと照合。ヒット時はわかりやすい理由でリジェクト。NIST技術シリーズ出版物
• 保管：
  　サーバ側はソルト付きハッシュで保存。コスト要素（反復回数等）は現行計算能力に見合う高め設定、かつ随時引き上げる運用。NIST技術シリーズ出版物
• ミスタイプ許容：
  　先頭/末尾スペースの取り扱いなど限定的な許容は可。ただし最小長を割らないこと。NIST技術シリーズ出版物
• 変更サイクル：
  　定期変更なし。侵害の兆候があるときのみ強制変更。ヘルプデスク負荷とユーザ形骸化を避ける。NIST技術シリーズ出版物

---

パスワードポリシーをアップデートする移行手順

1. ポリシー文書の改定
   　社内規程・ISMS運用手順・就業規則付属のセキュリティハンドブックの最小長/構成ルール/変更サイクルをRev.4準拠へ更新。「定期変更」条項の削除を忘れずに。NISTコンピュータセキュリティ資源センター
2. IdP/AD/各SaaSの設定変更
   　IdP（Azure AD/Entra ID、Okta等）やオンプレAD、主要SaaSの最小長=15（単要素時）、構成ルールOFF、ブロックリストONを一括適用。テスト環境→段階リリース。NIST技術シリーズ出版物
3. ブロックリスト運用
   　漏えいパスワードDBへの継続的な同期、組織固有語（社名/製品名/地名/年度）のメンテ。リジェクト時はユーザに理由を明示。NIST技術シリーズ出版物
4. ユーザ教育の更新
   　“強い＝記号だらけ”ではなく、**「長いフレーズ＋ブロックリスト回避」**へ認知を切替。パスワードマネージャ推奨も併記。NIST技術シリーズ出版物
5. 監視・対応フロー
   　侵害兆候（認証異常/漏えい検知）→当該アカウントのみ変更要求というイベントドリブン運用に刷新。NIST技術シリーズ出版物

---

Rev.4でパスワード以外に押さえておく周辺アップデート

• フィッシング耐性の定義と要件整理（FIDO等の位置づけが明確化）NIST技術シリーズ出版物
• 顔認証にはPAD（なりすまし対策）必須、音声による比較は不可の明示化 NIST技術シリーズ出版物
• AAL3におけるFIPS要件の調整や非書き出し（non-exportable）要件の追加など、ハード/ソフト認証器の扱いが整理 NIST技術シリーズ出版物

---

よくある誤解と反証

• 「複雑性ルールを外すと弱くなる？」
  　短い“複雑”より、長いフレーズの方が総当たり/推測に強い。複雑性は予測可能なパターンを生みやすい副作用もあるため、ブロックリスト＋長さが合理的。NIST技術シリーズ出版物
• 「定期変更をやめるのは怖い」
  　ユーザは微差の付け替えで形骸化しがち。侵害時のみ即時変更の方が実効性が高い。NIST技術シリーズ出版物

---

まとめ（運用の指針）

• 単要素なら15文字以上、MFA前提なら実用長＋ブロックリスト
• “構成ルール”ではなく“ブロックリスト＋保存・レート制御の実装品質”で守る
• 変更は“イベント起点”に寄せ、ユーザ体験とセキュリティの両立を図る
  すべてNIST最終版で裏取りできる、2025年時点の“最新・合理的な”パスワード方針です。NISTコンピュータセキュリティ資源センター+1

---

参考リンク（一次情報・読みやすい解説）

• NIST SP 800-63B-4（最終版・PDF）：Digital Identity Guidelines: Authentication and Authenticator Management（2025年7月） NIST技術シリーズ出版物
• NIST CSRC 公開ページ（最終化の履歴）（Document History 参照） NISTコンピュータセキュリティ資源センター
• 解説記事（英語）：Security Boulevard「NIST SP 800-63B Rev.4 Password Updates」（一次情報の要約として参照） t.co