2024年8月21日、米国立標準技術研究所(NIST)は、パスワードの設定や管理に関するガイドライン「NIST Special Publication 800-63B-4」第2版の公開草案を発表しました。このガイドラインは、多要素認証(MFA)の重要性や、パスワードの定期的な変更を推奨しない新しい方針が盛り込まれています。本記事では、NISTのパスワード管理に関する推奨事項と最新の変更点を解説します。
NISTの新しいパスワード推奨事項
パスワードの定期変更の非推奨
2017年からNISTは「パスワードの定期的な変更を推奨しない」としていましたが、今回の更新では、さらに一歩進めて「パスワードの定期変更を要求してはならない」という強い表現が採用されています。
理由:頻繁な変更がパスワードのパターン化や使い回しを引き起こし、逆にセキュリティリスクを高める可能性があるためです。
推奨されるパスワード管理のポイント
- 最低8文字、最大64文字の長さを許可
パスワードは、短すぎるとブルートフォース攻撃を受けやすいため、できるだけ長いものが推奨されます。 - 複雑な構成ルールの廃止
大文字・小文字、記号の組み合わせといった厳しいルールは不要とされました。パスワードの使いやすさを重視しています。 - ブラックリストチェックの導入
「12345」「password」など、一般的なパスワードや過去に漏洩したパスワードを排除する仕組みを導入するよう推奨しています。 - パスワードマネージャーの使用
パスワードマネージャーによる生成と管理を推奨し、より強力なパスワードの採用を促します。 - MFA(多要素認証)の採用
Microsoftの調査では、MFAの導入によりセキュリティ侵害リスクを99.22%削減できることが示されています。
新たなルールの例
- パスワードの管理にセキュリティ質問の使用は避けるべきとされています。SNSや公開情報から推測されるリスクがあるためです。
- Unicode文字を含むパスワードの使用も認められ、ユーザーが任意の文字を使えるように配慮がされています。
NISTの役割と影響
NIST(National Institute of Standards and Technology)は、米国の商務省に属する技術標準研究所です。NISTは、情報セキュリティ分野での標準策定を行い、多くのガイドラインが企業や政府機関で採用されています。今回のガイドラインも、多くの組織に影響を与えることが予想されます。
まとめ
NISTの最新ガイドライン「SP 800-63B-4」は、ユーザビリティとセキュリティの両立を目指し、定期的なパスワード変更の廃止やMFAの導入を強調しています。組織や個人でこのガイドラインを参考にすることで、パスワード管理の負担を軽減し、より安全な環境を構築できるでしょう。
詳細なガイドラインは以下のリンクから確認できます:
NIST Special Publication 800-63B-4
