株式会社テイク－ワンのN.Yです。

現在は情報セキュリティに関わる業務に携わっており、主に脆弱性情報の確認等を行っています。

今回は、2025年8月に改訂されたNISTのガイドライン「SP 800-63B」についてご紹介します。
NISTは「National Institute of Standards and Technology」の略称で「米国国立標準技術研究所」と訳されます。名前の通り、科学技術分野における研究を行っている米国の政府機関であり、IT分野におけるセキュリティ基準・ガイドライン等を発行しています。世界的にも影響力が高く、日本の総務省もNISTのガイドラインを参考に、「安全なパスワードの設定・管理」などのコンテンツを作成しています。

■安全なパスワードの設定・管理
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/security/business/staff/06/

推奨されるパスワードの変遷

NISTの発行しているガイドラインの中に「SP800シリーズ」と呼ばれるセキュリティ管理やリスク評価を行うためのガイドラインがあります。その中でも、認証とアクセス制御について書かれた「NIST SP 800-63: Digital Identity Guidelines」について取り上げたいと思います。
2017年に「SP 800-63B」が公開、2025年に「SP 800-63B-4」が公開されました。
2017年版と2025年版を比較し、最新の「安全なパスワード」の考え方について確認してみます。

■2025年版
https://csrc.nist.gov/pubs/sp/800/63/b/4/final
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63B-4.pdf

■2017年版
https://pages.nist.gov/800-63-3/sp800-63b.html

2017年版

• 最低文字数：8文字以上
• 最大文字数：64文字以上を受け付けるべき
• 複雑性要件：不要（大文字・小文字・数字・記号の混在を要求しない）
• 利用可能文字：ASCII + Unicode（推奨）
• パスワード変更：定期変更は不要（漏洩時のみ変更）
• パスワードヒント：非推奨
• 秘密の質問：推奨しない
• コピー＆ペースト：コピー＆ペーストを禁止してはならない
• ブロックリスト：過去の侵害記録から取得したパスワードや辞書に載っている単語、サービス名やユーザ名、およびそれらの派生語などコンテキスト固有の単語を拒否

2025年版

• 最低文字数：15文字以上 (単一要素)、8文字以上 (多要素認証併用)
• 最大文字数：64文字以上を受け付けるべき
• 複雑性要件：不要（大文字・小文字・数字・記号の混在を要求しない）
• 利用可能文字：印刷可能なASCII文字＋スペース必須対応、Unicode利用を推奨から"すべき"へ強化
• パスワード変更：定期変更不要（漏洩時のみ変更）(※)
• パスワードヒント：明確に禁止
• 秘密の質問：秘密の質問を使わせないことを明確化
• コピー＆ペースト：コピー＆ペーストを禁止してはならない
• ブロックリスト：過去の侵害記録から取得したパスワードや辞書に載っている単語、サービス名やユーザ名、およびそれらの派生語などコンテキスト固有の単語を拒否（より強調）

2017年版から2025年版への変更点の傾向として、以下の４点が挙げられます。

1. 「長くて覚えやすいパスフレーズ」をより強く推奨する方向へ。
2. 「P@ssw0rd!」のような"人間に優しくない複雑性"は不要。代わりに 辞書攻撃対策としてのブロックリストが重要に。
3. Unicode利用を"すべき"へ強化 → 日本語・絵文字・多言語フレーズも利用可能に。
4. ヒント禁止＋秘密の質問も明確に禁止 → 回復手段は「回復コード」などに一本化

『天空の城ラピュタ』に学ぶ脆弱なパスワードと安全なパスフレーズの例

最近の傾向では、従来の短くて複雑な「パスワード」より、長くて覚えやすい「パスフレーズ」が推奨されています。そこで、パスワードとパスフレーズの安全性について『天空の城ラピュタ』を例に考えてみたいと思います。

ラピュタといえば、言わずと知れたスタジオジブリの名作ですが、ラストで主人公のパズーとシータが「バルス」という滅びの言葉を唱えるシーンは有名ですね。しかし、パスワードとして考えたとき、「バルス」は非常に脆弱です。シータの持つ飛行石が「認証デバイス」として機能しており、期せずして多要素認証を実現していると思われますが、NISTの推奨基準に則って考えると、それでも「バルス」は短いです。3文字しかありませんので。

さて、ラピュタには「バルス」の他にもう一つ、パスワードらしき言葉が出てきます。
それは、「リテ・ラトバリタ・ウルス・アリアロス・バル・ネトリウム」という、シータが祖母から教わったという「困ったときのおまじない」です。物語の中盤でムスカに囚われたシータが、思わずこのおまじないを唱えると、それまで動かなかったロボット兵が動き出し、結果的にシータが逃げ出す手助けをしてくれました。この言葉はラピュタ語で「われを助けよ、光よよみがえれ」という意味で、どうやら再起動を促すフレーズ のようです。

さて、こちらの長いおまじない、覚えていたでしょうか？

私は子供の頃から何度も繰り返しラピュタを見返しているので、この長いラピュタ語のフレーズも暗記していたのですが。「バルス」に比べると文字数が多いので、忘れていた方も多いのではないでしょうか。しかし、この呪文はラピュタ語だとちゃんと意味のある文章であるため、ラピュタ語を解す人からすると、それほど苦労せずに覚えられ、長さも十分にある、割と理想的な「パスフレーズ」であると考えられます。

余談

「バルス」が短いのは、"ムスカに銃口を向けられているから"だそうです。
たしかにあの緊迫した場面で悠長に長いフレーズを唱えていたら、途中でムスカに撃たれてしまうでしょうね…。だからこそ、あのシーンは短い言葉でスパッと決める必要があったのだと思われます、演出的に。
幸いにしてムスカと対峙していない私たちは、安全のためにも長いパスフレーズを使うようにしたいですね。

■参考書籍：『もう一つの「バルス」ー 宮崎駿と『天空の城ラピュタ』の時代 ー』(木原浩勝 著)