NIST SP 800-63 Revision 4 (ドラフト) における主要な変更点と、パスワード要件の緩和の背景

NIST SP 800-63 Revision 4 とは？

NIST（米国国立標準技術研究所）が発行するデジタルアイデンティティの世界的ガイドライン「SP 800-63」。現在、その最新版である**「Revision 4（第4版）」**の策定が進められており、ドラフト（草案）が公開されています。

前回のRevision 3（2017年）から数年が経過し、サイバー攻撃の手法が劇的に変化する中で、Revision 4では**「ユーザーの利便性を損なう古いセキュリティ常識の廃止」と「フィッシング耐性への強いフォーカス」**が打ち出されており、IT業界全体に大きな衝撃を与えています。

パスワードに関する「常識」の根本的な見直し

Revision 4（およびRev 3からの流れ）で最も注目すべきは、これまで多くの企業で「常識」とされてきたパスワードルールの多くが**「非推奨（やるべきではない）」**と明言されたことです。

1. パスワードの「定期変更」の禁止

「セキュリティのために、パスワードを90日ごとに変更してください」というルールは、現在では完全に時代遅れであり、かえってセキュリティを低下させるとされています。 人間は頻繁に変更を求められると、「P@ssword1」を「P@ssword2」にするなど、推測しやすい安易なパターンに頼るようになります。NISTは「漏洩の証拠がない限り、定期的な変更をユーザーに強制してはならない」と明記しています。

2. 「複雑さ」の強制の廃止

「大文字、小文字、数字、記号を必ず1つ以上含めること」という複雑さの強制も非推奨となりました。 これも同様に、人間が覚えやすい特定のパターン（先頭だけ大文字、最後に『!』をつける等）を生み出しやすく、コンピューターによる辞書攻撃（推測攻撃）の前には無力だからです。代わりにNISTは、**「非常に長いパスワード（パスフレーズ：最低でも8文字以上、できれば64文字まで許容）」**を設定できるようにすることを推奨しています。

3. 「秘密の質問」の禁止

「母親の旧姓は？」「最初に飼ったペットの名前は？」といった秘密の質問（Knowledge-Based Authentication: KBA）は、SNS等で簡単に調査・推測できるため、アカウント復旧の手段として使用してはならないと強く警告されています。

「パスワードから多要素認証（MFA）へ」のシフト

これらの緩和の背景にあるのは、「どんなにルールを厳しくしても、パスワード単体での認証はもはや限界である」という NISTの強い危機感です。

人間の記憶に頼るパスワードの運用をシンプルにしてユーザーの負担を減らす代わりに、Revision 4では**「フィッシング耐性を持つ強力な多要素認証（MFA）」**の導入が強く推奨されています。 特に、FIDO2/WebAuthnやパスキー（Passkeys）に代表される暗号ベースの認証技術への移行が、今後のデジタルサービスにおける最も重要なセキュリティ投資になると位置づけられています。