ある朝、ブログのサーバーを Cloudflare に移管する手続きを始めた。
アカウントを作り、2段階認証を設定し、パスワードを考える。この一連の作業をしながら、ふと気がついた。私は自分のネット上の安全について、ちゃんと設計してきただろうか、と。
思い返せば、パスワードは使い回し、2段階認証もついているサービスとないサービスがバラバラ、しかも「複雑なほうが安全」という思い込みで記号と数字を無理やり混ぜた暗号のような文字列を、結局どこかにメモしていたりする。
これは良くない。しかも調べていくうちに分かったのは、「複雑なパスワードほど安全」という発想自体が、もう時代遅れだということだった。
米国国立標準技術研究所 NIST が発表している認証ガイドラインでは、パスワードの考え方が根本的にアップデートされている。今回は、その最新内容を踏まえて、個人レベルで実践できる安全なパスワード設計・2段階認証・パスキー・パスワードマネージャーまで、一度に整理してみたい。
DATA
Verizon が毎年発行する「データ漏洩調査報告書」(2024年版)によると、情報漏洩の原因の約68%に人的要因が関与しており、その中でもパスワード関連の脆弱性は依然として上位を占める。さらに、漏洩したパスワードの再利用による連鎖侵害が年々増加している。
(出典: Verizon 2024 Data Breach Investigations Report)
NIST とは何か。なぜそのガイドラインが世界基準なのか
NIST は National Institute of Standards and Technology の略で、米国の国立標準技術研究所のこと。米国連邦政府の機関向けに、情報セキュリティや認証に関する技術ガイドラインを発行している。
その中でもパスワードや認証に関するガイドラインが「NIST SP 800-63」シリーズで、世界中の企業・政府機関が事実上の国際標準として参照している。日本でも情報処理推進機構 IPA が翻訳版を公開しており、多くの日本企業が ISMS(情報セキュリティマネジメントシステム)認証取得時に参照する。
現在の最新版は、2017年に発行された第3版(SP 800-63-3)と、2024年から2025年にかけて整備が進んでいる第4版(SP 800-63-4)だ。
NIST が示す、パスワードの新常識
最新の NIST ガイドラインでは、これまで「常識」とされてきたパスワードルールが次々と否定されている。具体的にはこうだ。
| 従来の「常識」 | NIST の最新指針 |
|---|---|
| 大文字・小文字・数字・記号を必ず混ぜる | 混合の強制は禁止。長さを優先する |
| 90日ごとに定期変更する | 定期変更は要求してはならない。漏洩時のみ変更 |
| 8文字以上あれば十分 | 最低8文字、15文字以上を推奨 |
| パスワードマネージャーは危険 | 使用を許可すべき |
| 複雑なほど安全 | 長いほど安全、パスフレーズを推奨 |
| パスワードだけで守る | 多要素認証(MFA)を併用必須 |
特に大きな転換点は「複雑さより長さ」と「定期変更の禁止」の2つだ。NIST の研究によれば、複雑さを強制すると、利用者は極めて予測可能な方法で応じることが多いという。
たとえば「password」をパスワードに選ぶ人は、大文字と数字を要求されると「Password1」を選び、記号も要求されると「Password1!」を選ぶ。結果として、複雑さルールはむしろ攻撃者にパターンを教えてしまう。
定期変更も同じ理屈で、頻繁な変更を強制すると、人は「Spring2024!」「Summer2024!」のように予測可能なパターンで対応しがちになる。だから NIST は、漏洩の兆候がない限りパスワードを変更してはならないという強い禁止表現で規定している。
私たちが会社で何度も経験してきた「パスワードの期限が切れました、変更してください」という通知は、実はセキュリティを高めるどころか、むしろ下げていたということになる。
安全なパスワードはどう作るのか
NIST が推奨しているのは、複雑な文字列ではなく「パスフレーズ」という考え方だ。これは、意味のある単語を複数つないで長いパスワードにする方法のこと。
| タイプ | 例と評価 |
|---|---|
| 昔ながらの複雑型 | K7#m2!pQz9 → 10文字。覚えにくいので結局メモ。実は弱い |
| 単純な長文型 | iloveyou123456789 → 17文字だが辞書攻撃で一瞬で破られる |
| パスフレーズ型(推奨) | MorningCoffee-Read3Books-2026! → 29文字。意味があって覚えやすく、解読困難 |
パスフレーズの作り方のコツは、自分にだけ意味があって、他人には推測できない要素を組み合わせることだ。
たとえば、好きな本のタイトル、昔住んでいた街の名前、飼っていたペットの名前、よく行くカフェの名前、趣味に関連する単語、自分の生活習慣などを組み合わせる。逆に、誕生日や電話番号、家族の名前のような「調べれば分かる情報」は避ける。
ただし、ここで重要な注意点がある。パスフレーズは、同じものを複数のサービスで使い回してはいけない。どれか1つのサービスが漏洩した瞬間、他のサービスでも同じパスワードが試されるからだ。
これを現実的に解決する方法が、後述するパスワードマネージャーだ。
パスキーとは何か。PINコードと同じ?
最近よく聞くようになった「パスキー」だが、これはパスワードの次の世代の認証技術だ。
一言でいうと、パスワードを入力せずに、生体認証やPINだけでログインできる仕組み。Apple、Google、Microsoft が共同で推進していて、2024年以降、対応サービスが急速に増えている。
「PINコードと同じ?」という疑問は自然な反応なので、ここを丁寧に整理したい。
| 項目 | PINコード | パスキー |
|---|---|---|
| 役割 | デバイスのロック解除 | サービスへのログイン |
| 保管場所 | そのデバイス内 | デバイス内 + クラウド同期可能 |
| 仕組み | 入力した数字を照合 | 公開鍵暗号で秘密鍵を使って署名 |
| フィッシング耐性 | なし(入力時に盗まれる可能性) | あり(公開鍵暗号で強固) |
| 使い方 | 数字を入力 | 指紋・顔認証・PINで本人確認 |
重要なのは、パスキーを使うときに「指紋や顔認証」や「PIN」で本人確認をするが、その生体情報や PIN 自体は外部に送信されないということだ。
仕組みを簡単に説明すると、こうなる。パスキーを登録すると、あなたのデバイスに「秘密鍵」が保存され、サービス側には「公開鍵」が保存される。ログイン時、サービス側が問いかけ(チャレンジ)を送ってきて、あなたのデバイスが秘密鍵でそれに応答する。秘密鍵は一度もネット上を流れないから、傍受もフィッシングも無効になる。
生体認証や PIN は、その秘密鍵を「取り出すための鍵」の役割。つまり二重のロックがかかっている状態。
PINコードが「家の鍵」だとしたら、パスキーは「本人確認済みの顔パス」のようなもの。家の鍵は盗めば他人も開けられるが、顔パスは本人でないと通れない。
2段階認証の種類と、どれを選ぶべきか
パスワードだけでは守りきれないから、2段階認証(多要素認証、MFA)を追加する。これは NIST も強く推奨している対策だが、方式によって安全性が大きく違うので注意が必要だ。
| 方式 | NIST評価 | 特徴 |
|---|---|---|
| パスキー / FIDO2 | 最高位 | フィッシング耐性最強。対応サービスなら最優先 |
| 物理セキュリティキー | 最高位 | YubiKey等。物理的に盗まない限り破られない |
| 認証アプリ(TOTP) | 中評価 | Google Authenticator等。6桁の数字が30秒で変わる |
| メール認証 | 中評価 | メール自体が破られると意味がない |
| SMS認証 | 非推奨 | SIMスワップ詐欺で突破可能。最終手段のみ |
NIST の最新ガイドラインでは、AAL2(認証保証レベル2)以上でフィッシング耐性のある認証方式が推奨、AAL3では必須とされている。パスキーが最高位に位置づけられているのは、この「フィッシング耐性」という性質を持っているからだ。
意外と知られていないのが、SMS 認証の危うさ。スマホの SIM カードを攻撃者が自分のスマホに移し替える「SIMスワップ詐欺」が実際に国内でも発生していて、SMS で届くはずの認証コードが犯罪者の手元に届いてしまう事例がある。「やらないよりマシ」レベルと考えたほうがいい。
2段階認証の優先順位
1. パスキー対応サービスは必ずパスキーを設定
2. パスキー非対応なら認証アプリ(TOTP)
3. それも使えないならメール認証
4. SMS認証は最後の手段
パスワードマネージャーという発明。1Password の役割
ここまで読んで、こう感じた人も多いはず。
「長いパスフレーズを、サービスごとに違うものを、全部覚えるなんて無理」
そのとおりで、人間の記憶力には限界がある。ここで登場するのがパスワードマネージャーという解決策だ。代表的なサービスに 1Password、Bitwarden、Dashlane などがある。
仕組みはシンプルで、1つだけ強力な「マスターパスワード」を覚えておけば、あとは全サービスのパスワードはマネージャーが自動生成・自動保存・自動入力してくれる。
| 機能 | 役割 |
|---|---|
| パスワード自動生成 | 30文字以上のランダム文字列を瞬時に作る |
| パスワード自動入力 | ログイン画面でワンクリック入力 |
| TOTP (2段階認証コード) | 認証アプリの機能も内蔵 |
| パスキー保管・同期 | 対応サービスのパスキーも一元管理 |
| 漏洩監視 | 自分のパスワードが漏洩DBに含まれたら警告 |
| セキュアメモ | クレカ情報、パスポート等も暗号化保管 |
重要なのは、NIST がパスワードマネージャーの使用を許可すべきとしている点。昔は「パスワードをひとつの場所にまとめるなんて危険」という意見もあったが、現在は「人間の記憶に頼る分散管理のほうが、よほど危険」という認識に変わっている。
料金の目安は、1Password が月約450円、Bitwarden は無料プランでも十分実用的。有料でも年間で1500円程度。サーバー代やコーヒー1杯分と比べたら、自分のネット上の資産全体を守るコストとして、相当安い部類に入る。
パスキーがあればパスワードマネージャーは不要?
ここまで読むと、こう思う人もいるはず。「パスキーが最強なら、もうパスワードマネージャーは要らないのでは?」
答えは否。理由は3つある。
ひとつ目。すべてのサービスがパスキーに対応しているわけではない。Google や Apple のような大手は対応済みだが、日本のほとんどのサービス、古いWebサイト、業務システムなどはまだパスワード認証が主流だ。
ふたつ目。パスキーも「管理」が必要。どのサービスにどのパスキーを登録したかを一覧で見られないと、機種変更やPC買い替え時に困る。パスワードマネージャーはパスキーの管理・同期も担ってくれる。
みっつ目。パスワード以外の機密情報もある。クレジットカード番号、パスポート情報、ソフトウェアのライセンスキー、Wi-Fiパスワード、保険証券番号。これらすべてを一箇所で暗号化管理できるのがパスワードマネージャーだ。
パスキーは「鍵」、パスワードマネージャーは「鍵束」。両者は対立ではなく補完関係にある。両方を使うのが、現時点でのベストプラクティス。
私自身がプライベートで実装する、セキュリティの全体設計
ここまでの内容を踏まえて、私自身が個人レベルで構築していく(まさに進行中の)セキュリティ設計を具体的に書いておく。
前提として、ブログ運営・資産管理・オンラインショッピング・各種クラウドサービスを日常的に使う40代のひとりとして、特別な専門知識を必要とせず、継続可能なレベルで設計することを重視している。
| レイヤー | 具体的な対策 |
|---|---|
| 第1層: デバイス | PCはWindows Hello (PIN+生体認証)、スマホは顔認証。OS自動更新オン |
| 第2層: パスワード | パスワードマネージャー導入、マスターパスワードは長いパスフレーズ |
| 第3層: 2段階認証 | 主要アカウントは全てパスキーまたは認証アプリを設定 |
| 第4層: バックアップ | リカバリーコード(=バックアップコード)は印刷して物理保管。クラウドと端末の二重化 |
| 第5層: 運用習慣 | 月1回の2段階認証の棚卸し、怪しいメールは開かない、公衆Wi-Fiでは重要操作しない |
特に第4層の「リカバリーコード(サービスによってはバックアップコード、回復コード、緊急コードなどとも呼ばれる)」の扱いは見落とされがちだが、これは2段階認証を設定したときにサービスが発行してくれる緊急脱出用のコードのこと。スマホを紛失したりPCが壊れたりしたときの最後の命綱になる。私はこれを印刷して封筒に入れ、クローゼットの奥の決まった場所に保管している。金庫を買うほどではないが、自分だけが覚えている場所にしまっておく、これだけで十分だ。
パスワードマネージャー(1Password など)のマスターパスワードだけは、マネージャー自身には保管できない唯一のパスワードなので、自分の頭と、バックアップ用の物理保管(封筒に入れて自宅の決まった場所にしまう等)で二重化する。
セキュリティは「やりすぎ」で丁度いい
ここまで読んでくださった方の中には、「そこまでやる必要があるの?」と感じた人もいるかもしれない。
でも、ネット上の資産は年々増えていく。ブログ、メール、銀行、証券、クレカ、ポイント、サブスク、クラウドストレージ、SNS、写真、動画、書類。これらすべてが、たった一本のパスワードから侵入されて崩れ落ちる可能性がある。
セキュリティ対策は、家の鍵をかけるのと同じだ。鍵をかけていても泥棒が入る可能性はゼロにはならないが、かけていないのと比べたら被害確率は大幅に下がる。そして、かける習慣さえつけば、毎日のコストはほとんどゼロに近い。
NIST の最新指針が示しているのは、「人間の記憶力や注意力に期待するのをやめて、仕組みで守る」という発想の転換だ。
パスワードを記号だらけにして脳内で管理する時代から、長いパスフレーズ1つとパスワードマネージャーとパスキーで守る時代へ。これは便利さとセキュリティが両立する、珍しく嬉しい変化だと私は思う。
今日できる第一歩は、自分が使っている主要サービスの2段階認証の状態を確認すること。Google、Amazon、銀行、SNS。1つでも未設定があれば、まずそこから始めたい。
まとめ
| パスワードは | 複雑さより長さ。15文字以上のパスフレーズが推奨 |
| 定期変更は | NISTは禁止している。漏洩時のみ変更 |
| 2段階認証は | 必須。パスキー > 認証アプリ > SMSの順に安全 |
| パスキーは | PINや生体認証で秘密鍵を使って認証する最新技術 |
| パスワードマネージャーは | NISTも推奨。全ての鍵を1つの金庫にまとめる |
| パスキーとマネージャーは | 補完関係。両方を使うのがベスト |
私自身も、まさに今この記事を書きながら、自分のセキュリティ設計を整え始めているところだ。Cloudflareアカウントで2段階認証を設定し、次に1Passwordの導入を検討し、主要サービスのパスキー対応を1つずつ確認していく。
完璧を目指す必要はない。でも、知らずにリスクを抱え続けるより、知った上で少しずつ整えていく方が、長期的には気持ちも軽くなる。
自己投資の中でも、セキュリティ対策は見えにくい領域だけれど、一度仕組みを作れば長く働いてくれる種類の投資だと感じている。
参考・出典:
NIST Special Publication 800-63B (Digital Identity Guidelines, Authentication and Lifecycle Management)
NIST Special Publication 800-63-4 (2025年最終版)
Verizon 2024 Data Breach Investigations Report
IPA (独立行政法人情報処理推進機構) 公開資料
OpenID Foundation Japan 翻訳版 NIST SP 800-63B
コメント