米国国立標準技術研究所(NIST)が約4年間の作業を経て、パスワード作成に関する最新ガイドラインを発表した。
新ガイドラインでは、特殊文字や数字、大文字を含む「複雑性」要件を廃止し、パスワードの長さを最重要視する方針に転換した。単一認証の場合は最低15文字、多要素認証では最低8文字を推奨し、最大64文字まで設定可能とする。
定期的なパスワードリセットも廃止され、セキュリティ侵害が発生した場合のみリセットを行う。パスワード回復における「ヒント」や「母親の旧姓」などのセキュリティ質問も廃止し、電子メールやテキストによる回復リンクや認証コードの使用を推奨する。また、過去の侵害データや辞書の単語を含むパスワード「ブロックリスト」の導入も求めている。
Verizonの2025年データ侵害調査レポートによると、認証情報の悪用は中小企業の侵害における最も一般的な手口である。
From: 
Your passwords don’t need so many fiddly characters, NIST says
【編集部解説】
今回のNISTによるガイドライン改定は、長年続いてきたパスワードセキュリティの「常識」を根本から覆すものです。特殊文字や数字を組み合わせた複雑なパスワードを毎月変更する——多くの企業や組織が当然のように実施してきたこの慣習が、実は逆効果だったという事実は衝撃的でしょう。
NISTが指摘する問題の核心は、人間の行動パターンにあります。複雑性を要求されたユーザーは「Password1!」のような予測可能なパターンに逃げ込み、頻繁な変更を強いられると些細な変更で済ませようとします。攻撃者はこうした人間の心理を熟知しており、ブルートフォース攻撃ではこれらのパターンを優先的に試行するのです。
パスワード長を重視する方針は、数学的な裏付けがあります。短い文字数のパスワードに比べ、文字数を増やせば増やすほど組み合わせの可能性が指数関数的に増大し、総当たり攻撃に要する時間を天文学的に延ばせます。シンプルながら長いパスワードの方が、記憶しやすく、かつ破られにくいという二重のメリットを持つわけです。
また、NISTはパスキー(Passkeys)に代表される「パスワードレス認証」の利用についても推奨しています。これは、パスワードという概念そのものから脱却し、より安全で利便性の高い認証方式へ移行する大きな潮流を示唆しています。今回のガイドライン改定は、その過渡期における現実的かつ効果的なアプローチと位置づけられるでしょう。
このガイドラインは法的拘束力を持ちませんが、影響範囲は広大です。金融、医療、通信など規制産業では、コンプライアンス要件として最新のセキュリティ標準への準拠が求められます。また、政府との取引を行う企業にとっては、事実上の必須要件となる可能性が高いでしょう。
一方で、企業側には移行コストが発生します。既存のパスワードポリシーの変更、従業員教育、システム改修などが必要になるからです。しかし長期的には、ヘルプデスクへの問い合わせ減少や、侵害リスクの低減により、投資対効果は十分に見込めます。
注目すべきは「ブロックリスト」の概念です。過去の侵害データベースや辞書の単語、サービス名などと照合し、脆弱なパスワードの使用を防ぐこの仕組みは、リアルタイムでの脅威インテリジェンス活用を意味します。セキュリティが静的なルールから動的な防御へと進化している証左と言えるでしょう。
【用語解説】
NIST(National Institute of Standards and Technology)
米国国立標準技術研究所。米国商務省に属する連邦機関で、科学技術分野における標準化や測定技術の開発を担当する。サイバーセキュリティ分野では、政府機関や民間企業が参照する技術ガイドラインを策定しており、その影響力は米国内にとどまらない。
ブルートフォース攻撃
総当たり攻撃とも呼ばれる、パスワード解析手法の一つ。可能な文字列の組み合わせを片っ端から試行することで、正しいパスワードを探し出す手法である。パスワードが短いほど、また単純なパターンであるほど、解析に要する時間は短くなる。
【参考リンク】
NIST(National Institute of Standards and Technology)公式サイト(外部)
米国国立標準技術研究所の公式ウェブサイト。サイバーセキュリティに関するガイドライン、フレームワーク、研究成果などが公開されている。
Verizon Data Breach Investigations Report(外部)
Verizonが毎年発行するデータ侵害調査レポートの公式ページ。世界中の企業で発生したセキュリティインシデントを分析している。
Malwarebytes公式サイト(外部)
マルウェア対策ソフトウェアを提供する企業の公式サイト。個人向けから企業向けまで包括的なサイバーセキュリティソリューションを展開。
【参考記事】
How Do I Create a Good Password? | NIST(外部)
NISTによる、安全なパスワード作成方法に関する公式ガイダンス
2025 NIST password guidelines: key updates for businesses(外部)
2025年のNISTパスワードガイドラインの主要な更新点と、企業が対応すべき内容の解説
NIST Password Guidelines: 2025 Updates & Best Practices(外部)
最新のNISTパスワードガイドラインを組織のセキュリティに導入するためのベストプラクティス
【編集部後記】
パスワード管理に悩まされてきた方は多いのではないでしょうか。特殊文字を入れて、定期的に変えて、でも忘れてしまう——このジレンマから解放される日が来るかもしれません。NISTの新ガイドラインは、セキュリティの「常識」が科学的根拠に基づいて進化していることを示しています。
みなさんの職場や個人のパスワード運用は、今回の指針とどれくらい違いがあるでしょうか。長くてシンプルなパスワードへの移行を検討する良い機会かもしれません。セキュリティは難しくあるべきではなく、人間が無理なく実践できる形であるべきだと、私たちは考えています。
