パスワード認証見直しの潮流から考える──企業システムが今すぐ取り組むべき「認証の新常識」総まとめ
認証基盤を再設計するための、実務視点のガイドライン
2025-11-23
パスワード認証の常識が大きく転換しています。米国立標準技術研究所(NIST)が公開する最新の認証ガイドライン(出典:https://pages.nist.gov/800-63-3/)では、従来の「複雑なパスワード」「定期変更」「秘密の質問」といった慣習は推奨されず、パスフレーズ・ブロックリスト・多要素認証(MFA)・パスキーといった“より現実的で安全な認証運用”が求められています。
本コラムでは、NISTが示す認証の最新スタンダードを体系的に整理し、日本企業がどのようにシステムに取り入れるべきかを解説します。また、次世代認証であるFIDOやパスキーについては、当社が実際に構築した詳細解説コラムも併せてご紹介しながら、企業システムに最適な認証基盤の考え方をまとめていきます。
>>フルスクラッチ(オーダーメイド)のシステム開発について詳細はこちら
目次
【記事要約】パスワード認証の新指針、複雑化より“長さ”と“使わせない”が鍵に
NIST(米国立標準技術研究所)はパスワード認証指針を更新し、記号・数字の混在を求める従来型の強度基準を否定した。攻撃技術の進化により、複雑化を求めるほど「Password1!」のように推測されやすい設定が選ばれ、実効性が低下するためである。新指針では15文字以上の長いパスワードを推奨し、秘密の質問の使用も避けるべきとした。
また、ユーザーが設定しやすい弱い文字列を排除するブロックリスト方式を推奨。定期変更も漏洩時以外は要求せず、パスワード運用の過負荷を避ける方針を示した。さらに、1要素認証の限界から、生体認証やワンタイムパスワードなど他要素との併用が重要とされる。企業は利便性と安全性のバランスを踏まえ、適切な認証設計を再検討する必要がある。
出典:日本経済新聞「パスワード設定に新指針 記号・数字の混合『推奨せず』米機関、攻撃側の技術進化」2025年11月7日付朝刊
ポイントをひとことで
企業システムの認証設計は、もはや「パスワードをどうするか」という一要素の議論では済まなくなっています。NISTが示すように、長さ・運用・ブロックリスト・MFA・パスキーなど複数の要素を組み合わせて初めて現実的な防御になります。重要なのは、技術トレンドを追うことよりも、自社の業務フロー・権限設計・ユーザー属性に合わせて“どの認証がどこで必要か”を正しく判断することです。形式的なルールを積み上げるのではなく、業務とリスクの構造を理解したうえで最適解を組み合わせる。それが安全で使われる認証基盤の条件です。
パスワード認証の常識が変わった背景
企業システムでは長年、「記号を含めた複雑なパスワード」「90日ごとの定期変更」「秘密の質問」という仕組みが“安全だ”とされてきました。しかし、NISTはこれらを公式に否定しています。理由は明確で、攻撃手法の進化により複雑さは安全性につながらず、むしろ推測されやすいパターンを生み出す原因となるためです。
また、IDとパスワードの大規模な漏洩が続く中、攻撃者は過去に流出した情報をもとに自動ツールで突破を試みるため、人の想像を超えた速度で認証が破られるようになっています。
こうした背景から、NISTは“パスワード管理の前提”を根本から見直し、より現実的で効果的な指針を提示しています。
パスワードは「複雑さ」ではなく「長さ」が重要
NISTは、パスワードの最低文字数を15文字以上とすることを推奨しています。
・複雑さ(記号・数字・大文字・小文字)は推奨せず
・長く覚えやすいパスフレーズを使う
・「Password1!」のような型にはまりやすい文字列を避ける
実際、「おいしいカレーを食べたい2025」のようなフレーズは覚えやすく、総当たり攻撃にも強く、運用負荷も軽減できます。
複雑さは安全性につながらないどころか、ユーザーに規則性の強いパスワード選択を促し、逆に脆弱性を生むため、現代の攻撃手法にはまったく通用しません。
秘密の質問は廃止すべき
「母親の旧姓」「初めて飼ったペット」「卒業した小学校」などは、SNSや公開情報から推測可能であるため、認証要素としての安全性は極めて低いとされています。
NISTは秘密の質問を求めてはならないと明確に否定しています。
企業システムでも早急に廃止し、別の認証要素へ置き換えるべきです。
弱いパスワードを排除する「ブロックリスト」の必要性
ブロックリストは、NISTが強く推奨する新たな認証概念です。以下のような文字列をあらかじめリスト化し、設定できないようにする方式です。
・123456 / password / qwerty / 12345678 / 1qaz2wsx / asdfghjk / 123123 / 111111 / 000000 / abc123 / 1q2w3e4r / zaq12wsx / qwertyuiop / master / abcd1234 / 1234567890 / pokemon / michael / iloveyou / takahiro
・サービス名
・過去に漏洩した文字列
日本の調査でも、こうした文字列が多数ランク入りしており、ユーザーの“選びがちなパターン”を組織として排除する仕組みが求められています。例えば、2024年の調査では「123456」が「日本人のパスワードランキング2024」1位となりました(出典:https://www.soliton.co.jp/products/csa/WP-CSA-2410B.pdf?utm_source=chatgpt.com)
パスワード管理は「ユーザー任せ」にしない
ブラウザ保存は便利ですが、インフォスティーラー(パスワード盗難マルウェア)の標的になりやすく危険です。NISTはパスワード管理方法の強制ではなく、「安全に使える環境をシステムが提供すること」を推奨しています。
専門家は次の方法を推奨します。
・信頼できるパスワード管理サービスの活用
・ブラウザのシークレットモード利用
・1つのパスワードを複数サービスで使い回さない
企業側も“ユーザー任せのパスワード運用”を前提とした設計から脱却する必要があります。
1要素認証の限界と多要素認証(MFA)の必然性
パスワード単体による認証は、もはや防御として成立しません。
そのため、MFA(Multi-Factor Authentication:多要素認証)は必須になりつつあります。
・SMSワンタイムパスワード
・メールによるコード
・アプリのワンタイムパスワード
・生体認証(指紋・顔)
特に、証券口座の乗っ取り被害が続いている背景から、金融庁は新技術であるパスキーの採用を強く求めています。
パスキーとFIDO──パスワードからの脱却
パスキーはFIDO認証を基盤としており、パスワード自体を使わずにログインできる仕組みです。
・秘密鍵は端末内部に安全に保存
・外部から盗み取れない
・フィッシング耐性が極めて高い
・パスワード入力が不要でUXが向上
企業システムでも急速に採用が広がると予測されています。
当社フレシット株式会社ではFIDO認証のシステム構築に注力しており、以下のコラムで技術背景と実装のポイントを詳しく解説しています。
▶FIDO(パスキー)とは何か?技術的背景から実装まで徹底解説
https://freshet.co.jp/column/2653/
▶FIDO認証をシステムに導入するメリットと注意点
https://freshet.co.jp/column/2640/
企業システムにおける次世代認証を検討する際は、ぜひご参照ください。
認証方式を検討するためのチェックリスト
以下は、企業システムにおける認証方式を検討する際に必ず確認すべき主要ポイントです。
| 項目 | 内容 | 対応状況 |
| パスワードの最低文字数 | 15文字以上のパスフレーズを推奨 | □ |
| 秘密の質問の廃止 | SNS等から推測可能なため使用しない | □ |
| 複雑さルールの撤廃 | 記号・数字強制は非推奨、長さ重視へ | □ |
| ブロックリスト導入 | 「123456」など弱い文字列を禁止 | □ |
| パスワード管理方針 | 管理ツール推奨や保存禁止方針を設計 | □ |
| 多要素認証(MFA) | OTP・生体認証などを採用 | □ |
| パスキー対応 | FIDOベースのパスワードレスへ移行検討 | □ |
| 認証UX | 入力負荷・再認証フローの最適化 | □ |
| 権限操作時の追加認証 | 管理画面・危険操作に強固認証を追加 | □ |
| 端末・IP制限 | 管理画面など高リスク領域に併用 | □ |
| ログ監視 | 認証エラー・異常ログインの検知 | □ |
自社に最適な認証基盤をどう選ぶか
認証方式はサービス特性や業務フローにより最適解が大きく異なります。
・一般ユーザー向けサービスはUX重視で段階的にMFAを導入
・基幹システムではIP制限+MFA+パスキー
・管理画面は最も厳格な認証レベルを設計
このように、認証は「一律運用」ではなく、サービス特性に応じて組み合わせる設計が必須です。
まとめ
NISTの新指針は、従来のパスワード管理の常識を抜本的に見直す内容となっています。
・15文字以上の長さ
・秘密の質問の廃止
・複雑性ルールよりも運用設計
・ブロックリスト
・MFA
・FIDO(パスキー)
これらを前提に、企業システムは“使われる認証”へと設計を切り替える必要があります。
これからの認証基盤は安全性だけでなく、ユーザーの負荷、運用効率、業務フローとの整合性をすべて考慮した総合設計が求められます。
最後に、認証基盤の設計は単なる“仕組み選び”ではなく、業務フロー・ユーザー属性・リスクレベルを踏まえて最適な組み合わせを構築することが重要です。既存サービスの仕様やパッケージ型システムでは、自社に本当に必要な認証要件を実現できないケースも少なくありません。
フレシット株式会社では、こうした認証要件をゼロから整理し、パスワード設計・MFA・アクセス制御・FIDO/パスキー対応まで、企業ごとの運用実態に寄り添った“最適化された認証基盤”をフルスクラッチで構築しています。単に技術を導入するのではなく、業務プロセスと一体で運用できる形へ落とし込むことを重視し、認証の設計思想から一緒に伴走することが可能です。
安全性と利便性のバランスを取りながら、企業が本当に求める認証のかたちを実現したいとお考えでしたら、ぜひフレシット株式会社へご相談ください。
>>フルスクラッチ(オーダーメイド)のシステム開発について詳細はこちら
著者プロフィール
フレシット株式会社 代表取締役 増田順一
柔軟な発想でシステム開発を通して、お客さまのビジネスを大きく前進させていくパートナー。さまざまな業界・業種・企業規模のお客さまの業務システムからWEBサービスまで、多岐にわたるシステムの開発を手がける。一からのシステム開発だけでは無く、炎上案件や引継ぎ案件の経験も豊富。システム開発の最後の砦、殿(しんがり)。システム開発の敗戦処理のエキスパート。
公式Xアカウントはこちら
