はじめに
初級編である前回記事を見ていただいている方が非常に多いということもあり、予告したままになっていた上級編のお話をさせていただきます。
今回は上級編として、まず2025年7月末に公開されたNIST SP800-63 第4版という世界的に著名な認証ガイドラインに基づいて、PINとオンラインパスワードの違いと、上司や経営層へ説得力のある説明という二つの観点で整理してみました。
さて、タイトルで初級編と書いていたのには実は理由がありまして…。裏付け文書がMicrosoft社のドキュメントだと自社製品の説明だから信用できない、より公的な資料はないかと聞かれる場合もあるのではないでしょうか。
そこで、この分野で広く知られているNIST SP800-63と絡めてみようという上級編を考えています。厳しいご指摘を頂きそうなんですが、頑張ってみます。
https://blog.cloudnative.co.jp/17874/
背景:NIST SP800-63とは
さて、前述の世界的に著名な認証ガイドライン、NIST SP800-63について簡単に説明します。
米国発、世界中で参照されているオンライン認証のガイドライン
米国政府機関 アメリカ国立標準技術研究所(NIST)が「Electronic Authentication Guideline(電子的認証に関するガイドライン)」として出しています。2017年に発表された第3版に続き、2025年7月末に第4版が正式文書となりました。
https://pages.nist.gov/800-63-4
世界中で参考文献として使われており、日本も例外ではありません。
- 本来は米国政府向けの報告書や提言です。
- Microsoft社も当然重要視し、こちらに準拠した運用を行うためのガイドラインを定めています。
- 他国への強制力はありませんが、世界中で参考資料として利用されています。日本でもそれは例外でなく、本文書を参考情報としてデジタル庁で議論されています。
- 例:デジタル庁「行政手続きにおけるオンラインによる本人確認の手法に関するガイ ドライン」 DS-511 https://www.digital.go.jp/resources/standard_guidelines#ds511 https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/12cb1a6c/20250930_resources_standard_guideline_identityverification_01.pdf
2) デジタルアイデンティティに関する諸外国の動向
https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/12cb1a6c/20250930_resources_standard_guideline_identityverification_01.pdf
諸外国においても、デジタルアイデンティティに関するガイドライン等の見直しや新規制定が活発に進められている。米国では、米国国立標準技術研究所(NIST)が発行する米国連邦政府向けのデジタルアイデンティティガイドラインである SP 800-63 が 2025 年 8 月に全面改定され、フィッシング対策の強化、プライバシーや利用者体験への配慮の強化、運転免許証をスマートフォンに格納して利用できる仕組みである「モバイル運転免許証(mDL)」への対応などが盛り込まれた。また、欧州においては「欧州デジタルアイデンティティ規則(The European Digital Identity Regulation)」と称される規則が 2024 年 5 月に施行され、様々なデジタル資格情報をスマートフォンに格納して利用するための「EU Digital dentity Wallet」の導入に向けた検討が欧州各国で進められている。
概要とABCの4部で構成されている
多種多様な認証方法の強度や推奨についてはBで取り扱われています。AやCも重要な文書ですが、ここでは取り上げません。
NIST SP800-63 第4版は概要とABCセクションの4部構成となっています。
- SP800-63-4
- デジタル認証ガイドライン(全体概要)
- SP 800-63A-4
- 本人確認と登録
- SP800-63B-4
- 認証と認証子の管理
- SP800-63C-4
- フェデレーションとアサーション
第3版で話題になったこと
最も有名なのは「サービス提供者によるパスワードの定期変更要求は非推奨」と提示したことです。この提示を受けて、現在では日本国内でもパスワードの定期変更は不要とするのが常識になりました。
なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られる等のサービス側から流出した事実がない場合は、パスワードを変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となります。定期的に変更するよりも、機器やサービスの間で使い回しのない、固有のパスワードを設定することが求められます。
これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所(NIST)からガイドラインとして、サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです(※1)。また、日本においても、内閣サイバーセキュリティセンター(NISC)から、パスワードを定期変更する必要はなく、流出時に速やかに変更する旨が示されています(※2)。
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/security/business/staff/06/
上記の例外で最も有名なものはやむをえず複数人でアカウントを共有している場合で、退職や部署異動で共有メンバーが変化した場合は速やかに変更すべきです。弊社ではこのような組織内の安全な共有アカウント管理方法としてKeeper Securityなどのパスワードマネージャーをご提案しております。
本題:オンラインパスワードとPINの違い
NIST SP800-63Bではさまざまな認証手段をAuthenticatorと名付け、カテゴリ分類し運用方法のガイドラインを定めています。
では、初級編で取り上げたオンラインパスワードとPINはNIST SP800-63B 第4版でどのように定義されているのか見ていきましょう。
結論:第4版では別のカテゴリとなった
いきなり結論です。NIST SP800-63B 第4版では、オンラインパスワードとPINをそれぞれ別のカテゴリとしています。第3版では記憶シークレットとしてまとめられていたのですが、第4版ではパスワードとアクティベーションシークレットとして明確に区別するようになりました。
| オンラインパスワード | PIN | |
|---|---|---|
| 第3版 | 記憶シークレット | 多要素認証暗号デバイスの鍵として使われる記憶シークレット |
| 第4版 | パスワード | アクティベーションシークレット |
PINとオンラインパスワードでの要求仕様の違い
カテゴリが別ということは、当然要求仕様も異なっています。PINはオンラインパスワードよりも明らかに単純なことがわかります。
これは本題には関係ないのですが、第4版から記憶シークレットにUnicode文字を受け入れるよう推奨(SHOULD)明記されており、近い将来は顔文字もパスワード入力できる時代が来るのかもしれません。
| オンラインパスワード | PIN | |
|---|---|---|
| 第4版の定義 | パスワード | アクティベーションシークレット |
| 端末や認証器の外部へ | 流れる(サーバでの中央検証) | 流れない(端末内のローカル検証) |
| 長さ | 最低15文字で、64文字以上を受け入れられるべき(ただし、多要素認証と組み合わせる場合は最低8文字) | 最低4文字で、6文字以上を推奨 |
| 文字種 | 英数字(ASCII)文字) スペース Unicode文字(正規化必須) 文字種混在強制の禁止 | 数字のみであっても良い。 英数字やUnicode文字(正規化必須)も可能 |
| リトライ回数 | 100回以下。再入力待ちなどのレート制限の実装を推奨。 | 10回まで。超えたら無効化。再入力待ちなどのレート制限の実装を推奨。 |
| 認証情報の変更 | 定期的な変更要求の禁止 認証情報侵害根拠があれば変更を強制 | 定期的な変更要求の禁止 |
| 認証情報作成時の評価 | ブロックリスト(単純文字列、辞書文字列、過去の侵害で漏洩した認証情報など)と照合し該当する場合は拒絶 | ブロックリスト(単純文字列、辞書文字列など)と照合し該当する場合は拒絶 |
| その他 | パスワードマネージャーの使用を許可 パスワード表示オプションの提供 いわゆる秘密の質問は禁止 |
よくある誤解と、上司・経営層への説明アイデア
前述の通り、NIST SP800-63B 第4版ではPINとオンラインパスワードは明確に違うものとして扱われていることを確認できました。
では実際にどのように社内(上司や経営層)に伝えればいいか、よくある誤解とその解消についてまとめてみました。
誤解1:「PINは数字6桁だからオンラインパスワードより弱い」
たしかに「桁数が少ない=弱い」と感じてしまう不安は出てきやすいです。この点に対して、NIST SP800-63B 第4版の整理ではオンラインパスワードとPINはそもそも役割が違うものとして扱われています。
- オンラインパスワード
- 初級編でも説明したとおり、インターネット経由で送られている
- インターネット上のサービスであればオンラインパスワードが漏洩したら世界中から侵入できてしまう
- PIN
- スマホやPCのセキュリティチップに紐づいていており、インターネット上に流れない
- インターネットに流れるのはセキュリティチップの秘密鍵で署名したレスポンスであり、仮にレスポンスを奪取できても一回限りの利用なので悪用できない
- 端末を盗まれた場合に限り、限られた回数だけ認証に挑戦できる
- スマホやPCのセキュリティチップに紐づいていており、インターネット上に流れない
つまり、「何桁か」だけで強さを比べても意味がないということです。
数字6桁のPINと長いオンラインパスワードは、使われる場所と想定している攻撃が違います。オンラインパスワードはインターネット経由でどこからでも利用可能ですが、PINは端末の中だけでチェックされ何回か間違えるとロックされる前提です。そのため、NIST SP800-63B 第4版でも“別のもの”としてルールを決めていて、桁数だけで安全性は判断できません。
誤解2:「PINもオンラインパスワード並みに長く複雑にすれば安全になる」
「セキュリティを高めたいから、PINも8桁以上・英数字混在で」と言いたくなる気持ちは自然です。ただ、ルールを制定する経営者の立場から見るとトータルのリスクとコストで判断する必要があります。
PINは、端末のロックを守るための仕組みの一部です。多くの場合、指紋や顔認証とセットで使われます。端末をなくした時は、リモートロックやワイプなどで対策できます
ここでPINだけを極端に複雑にすると以下のリスクが生じます。
- 入力ミスが増えて、ロックや問い合わせが増える。
- 覚えられずに紙やメモに書き出す人が出てくる。
- 結果的に、業務の滞りや情報漏洩リスクが増える。
NIST SP800-63B 第4版でPINについて「最低4桁、6桁以上を推奨」としているのは、PINだけに頼るのではなく他の仕組み(生体認証・端末暗号化・リモートワイプなど)と組み合わせる前提だからです。
PINをオンラインパスワード並みに複雑にすると一見安全そうに見えますが、実際にはログインエラーやロックの増加、メモ書きによる情報漏洩リスクなど、別の問題が増えます。NIST SP800-63B 第4版では“PINを最強に複雑にしよう”という発想ではなく、『PIN+生体認証+端末の暗号化+紛失時のワイプ』といった全体設計で安全性を確保する前提で整理しています。
誤解3:「NIST SP800-63Bはオンラインパスワードのルールを“ゆるくして良い”と言っている」
「パスワードの定期変更はやめるべき」という話だけが一人歩きし、「じゃあパスワードは適当でいいのか」という誤解が生まれることがあります。実際には、NIST SP800-63B 第4版で提言されているのは以下の内容です。
- 「効果の薄い“しんどいだけのルール”はやめよう」
- 「そのぶん、本当に効く対策に力を入れよう」
ということです。
たとえば第4版では以下のように提言されています。実効性のある運用を求めています。
- パスワードの定期変更は禁止だが、漏洩の疑いがあれば変更を強制
- サービス側でブロックリストとの照合(漏洩リスト、辞書、よく使われる簡単なパスワード)を必須
- パスワードマネージャーの利用を阻害しない
- 多要素認証の活用を重視
NIST SP800-63B 第4版では『オンラインパスワードを雑にしていい』と言っているわけではありません。『定期変更のように負担が大きいわりに効果が薄いルールはやめて、多要素認証や漏洩リストチェックなど、“コスパの良い対策”に集中しましょう』と言っています。その方が、社員の負担を減らしつつ、セキュリティの実効性はむしろ上がります。
誤解4:「PINもオンラインパスワードも、全部まとめて同じルールでいい」
社内規程や監査の観点では、「認証のルールは1枚のポリシーにまとめたい」という発想になりがちです。
しかし、NIST SP800-63B 第4版の考え方に沿うなら、
- オンラインパスワード
- 端末ロック用のPIN
- 物理セキュリティキーや生体認証などの仕組み
は、それぞれ守っているものも、攻撃のされ方も違うため、一つのルールで縛るより、「種類ごとにルールを分ける」方が自然です。
一まとめにしてしまうと、
- 不必要に厳しいルールがかかり、生産性を落とす。
- 本当に注意すべきポイント(例:物理セキュリティキーの保管方法など)が埋もれる。
といった問題が出てきます。
NIST SP800-63B 第4版では、オンラインパスワードと端末のPINなどを別々に整理しています。そのため社内でも、“全部同じルール”ではなく、『オンラインパスワードポリシー』『端末ロック用のPINポリシー』『物理キー・生体認証に関するルール』のように分けておいた方が、それぞれに合ったバランスで“安全性と使いやすさ”を設計できます。
まとめ
今回は2025年7月末に公開されたNIST SP800-63 第4版という世界的に著名な認証ガイドラインに基づいて、PINとオンラインパスワードの違いと、上司や経営層へ説得力のある説明という二つの観点で整理してみました。
前節で挙げた誤解の多くは、「何桁か」「どれだけ複雑か」といった見た目の厳しさだけでセキュリティを評価してしまうことから生まれています。
NIST SP800-63B 第4版は、「どんな攻撃を想定するのか」「どこで認証情報がチェックされるのか」を整理したうえで、オンラインパスワードとPINを別物として扱っています。
組織全体を俯瞰してみるのであれば、古い慣習的なルール(とりあえず定期変更・とりあえず全部複雑に、など)を見直し、多要素認証や漏洩リストチェック、端末紛失時の対応プロセスなど、効果の高い対策に投資を振り向けることが重要になります。
初級編では直感的なイメージで説明しましたが、本稿ではNIST SP800-63B 第4版の整理をもとに「なぜそう言えるのか」を掘り下げました。上司や経営層への説明やポリシー整備の際の参考になれば幸いです。
参考文献
- NIST SP800-63 第4版
