2025年のパスワードポリシー最新動向｜NISTガイドラインを解説

古いパスワードポリシーの問題

「90日ごとに変更」「大文字・数字・記号を含む8文字以上」という従来のルールは、実はセキュリティ上逆効果になることが研究で明らかになっています。定期変更を強制されたユーザーは「Password1!」→「Password2!」のように予測可能な変更をする傾向があるためです。

NISTの最新ガイドライン（SP 800-63B）

米国国立標準技術研究所（NIST）が2017年（2024年改訂）に発表したガイドラインは、従来の常識を大きく変えました。

• 定期変更は不要：漏洩の証拠がない限り、定期的な変更を強制しない
• 長さ優先：複雑さより長さ（最低8文字、推奨15文字以上）
• パスフレーズ推奨：「correct horse battery staple」のような複数単語の組み合わせ
• 漏洩チェック：Have I Been Pwnedのようなデータベースに照合して漏洩パスワードを禁止する
• ヒント禁止：秘密の質問やパスワードヒントは廃止

多要素認証（MFA）の重要性

強力なパスワードよりも、多要素認証の導入の方がセキュリティ向上効果が高いとされています。Googleの調査では、SMS認証で自動化攻撃の100%、フィッシング攻撃の96%をブロックできることが示されています。

パスワードレス認証の台頭

パスキー（FIDO2/WebAuthn）は、パスワードを使わない生体認証・デバイス認証を実現します。AppleはiOS・macOSでパスキーに対応し、GoogleやMicrosoftも採用を進めています。近い将来、パスワード自体が不要になる可能性があります。