米国立標準技術研究所(NIST)は2025年8月、パスワード認証指針を約3年ぶりに更新しました。記号や数字を組み合わせる設定や、ペットの名前などを尋ねる秘密の質問での本人確認を「推奨しない」と改めた背景には、攻撃側の技術進化と情報漏洩状況の変化があります。この流れは実は、東京大学が2018年に提唱した「30文字以上のパスワード」という先進的な提案につながっており、パスワード強度に関する理解の転換を示しています。

NISTの新ガイドライン:「長さ」重視への転換

2025年8月、NISTはSP 800-63Bガイドラインをアップデートしました。新しい推奨事項は従来の複雑性重視から「長さ」へとシフトしています。​

新しいパスワード推奨基準:

  • 最低文字数は8文字、推奨最低15文字。最大64文字まで許可
  • 複雑さ(記号・数字の強制)よりも「長く分かりやすいフレーズ」を重視
  • パスワード変更は漏洩などのインシデント発生時のみ。定期的強制変更は推奨しない
  • 流出したパスワードやブラックリストの活用で”使ってはいけない”ものを弾く
  • パスワードマネージャや多要素認証(MFA)の併用を推奨

NISTは「Verifiers and CSPs SHALL require passwords to be a minimum of eight characters in length and SHOULD require passwords to be a minimum of 15 characters in length」と明記しており、8文字以上を必須、15文字以上を推奨としています。​

この背景には、高性能なグラフィックボード(NVIDIA GeForce RTX 4090など)が、従来型の複雑な8文字パスワードを1時間で解析可能な時代に突入したことがあります。記号や大文字・小文字・数字の組み合わせを強制するルールは、ユーザーの利便性を損なうだけで、攻撃への実効性が薄いと結論付けられました。​

秘密の質問による本人確認は廃止へ

出身小学校やペットの名前、母親の旧姓など「秘密の質問」による本人確認に関しては、SNS等から答えが容易に推測できること、ダークウェブ上に情報が流通している現状から「本人確認手段としての有効性は低い」とされます。NISTの新ガイドラインではこれらを利用した認証・復旧手続きを廃止または非推奨とし、「安全な復旧リンクやワンタイム認証コード」の活用が明記されています。​

東京大学の先見性:2018年に「30文字以上」を提唱

ここで注目すべきは、東京大学が2018年3月の時点で「30文字以上のパスワード設定」を推奨していたという事実です。当時、このニュースはTwitterで大きな話題となり、「覚えるのが無理」「30文字?」といった反発の声も多くありました。しかし、実際には東京大学の提案には明確な根拠がありました。​

Xユーザーの指摘通り、「覚えやすい単語4~5個で30文字強のパスワードを作る形がいいようですね」という指摘が出ており、これはパスフレーズ(複数の単語を組み合わせたフレーズ)の利用を意図していたのです。例えば「Yama-no-Koibito,2025,Shiroi!」のような自然な日本語フレーズや、複数の英単語を組み合わせたものがこれに該当します。​

東京大学の実際のパスワード要件の変遷

2023年3月9日、東京大学のUTokyo Account(全学統一認証システム)はパスワード要件を更新しました。それまでは「8~16文字で十分に破りにくいパスワード」としていましたが、これを大幅に強化しています。​

2023年3月9日の改定内容:

  • パスワードの最小文字数が8文字から12文字に引き上げ
  • パスワードとして設定できる最大文字数が16文字から64文字に拡張
  • 英大文字、英小文字、数字、記号の4種類のうち3種類以上を使用

東京大学はこの改定理由を「近年、セキュリティ状況は悪化し、標的型攻撃・フィッシング攻撃などでユーザの ID とパスワードを窃取される事案が多数発生している」と説明し、「もはやパスワードを適切に管理することでは十分とは言えず、多要素認証を利用することが不可欠な状況」と述べています。​

現在の推奨は「英大文字、英小文字、数字、記号の4種類のうち3種類以上を使い、12文字以上64文字以下に設定」となっており、2018年の「30文字以上」提案の思想は継承されつつ、より実用的な形に調整されています。​

企業や開発者が見直すべきポイント

NIST新ガイドラインと東京大学の実践から、企業や開発者が優先すべき改革は以下の通りです:

  • パスワード最小値を12文字以上(理想は15文字以上)に設定
  • 記号や数字の組み合わせ必須化を廃止し、「自然で長いフレーズ」を推奨
  • パスワードの定期的な強制変更ルールを廃止(漏洩時のみ対応)
  • 流出したパスワードのブラックリスト運用を導入
  • パスワード管理ソフトと多要素認証(MFA)の併用を推奨
  • 秘密の質問による本人確認・パスワード復旧機能を廃止

これらの方針転換の背景には「攻撃者の技術進化や情報漏洩状況の変化」があり、パスワード運用を抜本的に見直す時代が到来しています。​

NISTガイドライン改訂と東京大学の先行実例を踏まえ、組織のパスワード運用を今一度点検し、より安全かつ利便性の高い認証仕組みへのアップデートを進めることが急務です。