パスワードの定期変更はなぜ不要？NIST 2025とパスキーで学ぶ認証の新常識

IT — Security & Authentication

パスワードの定期変更はなぜNISTで不要とされたのか ―― 2025年版とパスキーで読み解く認証技術60年史

「複雑性・定期変更」神話の解体から、公開鍵暗号・多要素認証・パスキーへ

主カテゴリ：IT 関連：科学／心理学・人間関係 想定読了：30〜40分準拠：NIST SP 800-63B Rev.4（2025年8月）

「パスワードは複雑にし、定期的に変えるほど安全だ」――この一文は、長らく企業のセキュリティ研修で唱えられ、監査項目に書き込まれ、社員に90日ごとの苦行を強いてきた。しかし、その総本山であった米国国立標準技術研究所（NIST）は、2017年に従来型の複雑性ルールと根拠の薄い定期変更を「推奨しない」方向へ大きく転換し、さらに2025年8月に最終化されたSP 800-63B Rev.4では、文字種の構成ルールと定期変更の禁止を規範要件として明記した。本稿は、なぜこの常識が広まり、なぜ誤りだったのかを実証研究にさかのぼって解体し、さらに「ではどう設計すべきか」を、公開鍵暗号・多要素認証・パスキーという技術的系譜の因果として読み解く。

先に結論パスワードを残すなら、文字種の強制や時間ベースの定期変更ではなく、十分な長さ・漏洩パスワードの拒否・レート制限・パスワードマネージャ対応を優先する。重要アカウントでは、TOTPやSMSより、FIDO2／パスキーなどフィッシング耐性のある認証へ移行する。ただし、パスキー導入後の弱点は「復旧フロー」と「認証後のセッション」へ移動する点に注意する。

この記事で分かること

なぜ複雑なパスワードと定期変更が、かえって逆効果になりうるのか（実証研究の数値で）
SMS・認証アプリ・パスキーの安全性は、技術的に何が違うのか
企業が2026年に採用すべき認証ポリシーと、移行の優先順位

1導入：なぜ「認証の設計判断」が実務を分けるのか

セキュリティの領域で、「直感的に正しそうな対策」と「実際に効く対策」が最も大きく乖離する場所――それが認証である。多くの人は、強度の高い認証とは「破られにくい秘密」を作ることだと考える。記号と数字を混ぜ、文字数を増やし、定期的に作り変える。これは一見、攻撃者の試行を困難にする合理的な発想に見える。

しかし、この発想には決定的な前提の欠落がある。それは「秘密の強度」と「人間の運用」を分けて考えていないという点だ。攻撃者が相手にするのは、紙の上の数学的なパスワードではなく、それを記憶し、入力し、使い回し、付箋に書く生身の人間である。設計が人間の認知と行動を無視したとき、「数学的には強い」ルールが「現実には弱い」結果を生む。複雑性の強制と定期変更は、まさにこの陥穽にはまった代表例だった。

この乖離を放置するコストは、単なる情報漏洩にとどまらない。第一に、無効な対策を「対策済み」と誤認することで、本来注ぐべきリソースが空費される（典型的には「うちはMFAを入れているから安全だ」という安心）。第二に、ユーザーに無意味な負荷を強い、ヘルプデスクのパスワードリセット対応コストを膨張させる。第三に、そして最も重要なことに、誤った安心は、攻撃者にとって最良の前提条件になる。

本稿が辿るのは、こうした「もっともらしいが誤った設計判断」が、実証研究によって一つずつ覆されてきた歴史である。そしてその歴史には、明確な一本の因果線が通っている――認証の進化とは、「人間が記憶し入力する共有秘密」を、「機械が保持しドメインに束縛される非対称な秘密」へと置き換えていく過程だ、という線である。パスワードからパスキーへの移行は、この線の現在地にすぎない。判断の軸を手に入れるには、なぜその線が引かれたのかを理解する必要がある。

2問題設定：認証とは何を保証する仕組みか

議論の精度を上げるために、まず用語を厳密に分ける。日常語では混同されがちな三つの概念は、システム設計上はまったく別の機能を指す。

識別（Identification）: 「あなたは誰だと主張するか」を表明する行為。ユーザーIDの入力がこれにあたる。主張にすぎず、真偽は問われない。
認証（Authentication）: 「その主張が本当か」を検証する行為。本稿の主題。主張者が、その身元に結びついた秘密や鍵を確かに支配していることを確かめる。
認可（Authorization）: 「認証された主体に何を許すか」を決める行為。認証の後段であり、別レイヤーの問題。

認証は伝統的に、根拠となる「要素（factor）」の種類で三分される。この分類は、後段で各技術の強度を比較する際の座標軸になる。

知識要素（something you know）: パスワード、PIN、秘密の質問。本人が記憶し、入力できるがゆえに、本人が騙されて他所で入力させられうる。これがフィッシングの構造的弱点になる。
所持要素（something you have）: スマートフォン、ハードウェアキー、ICカード。物理的な所持を要件とする。ただし「所持の証明方法」が知識要素に退化すると（例：SMSで届いた数字を入力する）、再びフィッシング可能になる。
生体要素（something you are）: 指紋、顔、虹彩。変更できないという性質が、利点でもあり致命的弱点でもある（後述）。

「強度」は単独では定義できない――脅威モデルという前提

ここで本稿の最重要概念を提示する。認証手段の「強さ」は、それ単独では決まらない。何から守ろうとしているか（脅威モデル）に相対的にしか定義できない。

同じパスワードでも、想定する攻撃が違えば必要な性質が変わる。主な攻撃モデルを区別しておく。

攻撃モデル	攻撃者が行うこと	有効な防御の方向
オンライン推測	ログイン画面に総当たり／よくある語を試す	レート制限・ロックアウト・ブロックリスト（長さより試行制御が効く）
オフライン解析	漏洩したハッシュDBを手元で高速に解読	長さ＋ソルト＋メモリハードなハッシュ（試行制御が無効な領域）
クレデンシャル・スタッフィング	他サイト漏洩のID/PWをそのまま試す	使い回しの排除・漏洩値のブロックリスト照合
フィッシング	偽サイトで本人に秘密を入力させる	人間の注意力では防げない。ドメイン束縛された暗号で構造的に断つ
中間者（AitM）／リプレイ	正規サイトと本人の間に割り込み、認証を中継・再生	チャレンジ署名・オリジン検証（OTPでは防げない）

この表が示すのは、「複雑なパスワード」が効くのは主にオフライン解析に対してであって、現代の主要な侵入経路であるフィッシングやクレデンシャル・スタッフィングに対してはほとんど無力だ、という事実である。複雑性を巡る誤解の根は、ここにある。攻撃モデルを取り違えたまま、一つの対策を万能薬のように扱ってきたのだ。

最後に、現代の議論で標準座標となっている枠組みを導入する。NISTが定義する認証保証レベル（AAL：Authenticator Assurance Level）である。AAL1は単一要素でよい低保証。AAL2は2つの異なる認証要素を必要とする中保証で、サービス提供者は少なくとも一つのフィッシング耐性認証手段を「提供しなければならない」（ただし、すべてのAAL2トランザクションがフィッシング耐性を持つことまでが一般要件として必須なわけではなく、米国連邦職員等には別途フィッシング耐性認証の使用が要求される）。AAL3は、フィッシング耐性に加え、外部へ取り出せない秘密鍵を持つ暗号認証器を必須とする高保証だ。本稿の後半は、この三段階を判断の物差しとして用いる。

3背景構造：認証技術はどんな順序で何を解決してきたか

3-1. 共有秘密の誕生と最初の教訓（1961〜1979）

コンピュータにおけるパスワードは、1960年代初頭のMIT・CTSS（Compatible Time-Sharing System）に起源を持つとされる。複数ユーザーが一台の計算機を時分割で共有するとき、誰のファイルかを区別し保護する必要が生じた。その素朴な解が「各人に秘密の文字列を持たせる」ことだった。

そして認証の歴史は、最初期から皮肉な教訓を残している。CTSSでは、全員のパスワードが一つの平文ファイルに保存されていた。あるとき設定ミスにより、ログイン時のメッセージとパスワードファイルが入れ替わって表示され、全ユーザーのパスワードが露出する事故が起きたと伝えられる。「秘密を平文で一箇所に集める」ことの危険性は、パスワードそのものと同じくらい古いのである。

この問題に理論的な解を与えたのが、1979年のRobert MorrisとKen Thompson（UNIXの開発者たち）による古典的論文「Password Security: A Case History」だ。彼らの設計思想は今日まで生き続けている。要点は二つ。

第一に、パスワードは平文で保存せず、一方向ハッシュに変換して保存する。これにより、DBが漏れても元のパスワードは（容易には）復元できない。第二に、各パスワードに利用者ごとに異なるランダム値=ソルト（salt）を付与してからハッシュする。なぜソルトが要るのか。ソルトがなければ、攻撃者は「よくあるパスワードのハッシュ値の対応表」を事前計算しておき（後年これはレインボーテーブルとして洗練される）、漏洩ハッシュと突合するだけで一括解読できてしまう。ソルトは、この事前計算を利用者ごとに無効化する。同じパスワードでも保存されるハッシュが全員異なるため、攻撃を一人ずつのやり直しに引き戻すのだ。

根拠 Morris＆Thompsonの論文の核心は、技術ではなく経済学にある。彼らの狙いは解読を「不可能」にすることではなく、攻撃1回あたりのコストを引き上げ、割に合わなくすることだった。この「攻撃コストを設計する」という発想は、現代のメモリハード・ハッシュ（Argon2等）まで一貫する認証設計の背骨である。

3-2. 「エントロピー教義」の成立と、誤りの種（1980〜2003）

共有秘密が前提となると、次の問いは「どんな秘密が強いのか」になる。ここで登場するのがエントロピーという概念だ。情報理論的には、パスワードの推測されにくさは、取りうる候補空間の対数（ビット数）で測れる。文字種を増やし（小文字＋大文字＋数字＋記号）、桁を伸ばせば、候補空間は指数的に拡大する。数学的にはこれは正しい。

この数学を運用ルールへ翻訳したのが、2003〜2004年にNISTが公表したガイドライン（SP 800-63 の付録、執筆者Bill Burr）だった。ここで「大文字・小文字・数字・記号を混ぜよ」「定期的に変更せよ」という二大原則が事実上の世界標準として制度化される。多くの企業のActive Directoryポリシー、PCI DSSなどの監査基準は、ここから派生した。

では、どこで間違えたのか。誤りは数学そのものではなく、数学から人間行動への翻訳にあった。エントロピーの計算は「パスワードがランダムに選ばれる」ことを暗黙に仮定する。しかし人間はランダムに選ばない。「記号を1つ入れよ」と言われれば末尾に!を付け、「大文字を」と言われれば先頭を大文字にし、「定期変更を」と言われればPassword1をPassword2にする。制約は、候補空間を理論上広げる一方で、人間の選択を予測可能な狭い部分集合に押し込めてしまう。結果として、攻撃者から見た実効エントロピーはほとんど増えず、むしろ記憶負荷の増大が使い回しを誘発する。

注目すべきは、起草者自身がのちに後悔を表明している点だ。Bill Burrは2017年、自らのガイドラインが人々を「予測可能な行動」へ追い込んだことを認めた。設計者の善意と、その帰結の有害さが分離しうる――これは認証に限らない制度設計の普遍的教訓である。

3-3. 共有秘密からの脱却：公開鍵暗号という概念的断絶（1976〜）

ここまでの技術は、すべて「送り手と受け手が同じ秘密を共有する」対称鍵の世界にあった。この世界には原理的限界がある。検証する側（サーバ）も秘密を知っていなければ照合できず、その秘密が漏れれば終わりだ。そして本人が入力できる以上、本人を騙せば秘密は抜ける。

この限界を根底から覆したのが、1976年のWhitfield DiffieとMartin Hellmanによる「New Directions in Cryptography」、そして1978年のRivest・Shamir・Adlemanによるその具体化（RSA）だった。彼らがもたらしたのは非対称鍵――数学的に対をなす二つの鍵を作り、一方（秘密鍵）で署名したものを、他方（公開鍵）で誰でも検証できるが、公開鍵から秘密鍵は実用的時間内に逆算できない、という構造である。（なお同等のアイデアは英国GCHQのEllis・Cocks・Williamsonにより数年早く機密裡に発見されていたことが、1997年の機密解除で判明している。）

根拠公開鍵暗号が認証にとって決定的だったのは、「検証者は秘密を持たなくてよい」という点である。サーバは公開鍵だけを保管すればよく、それが漏れても認証情報の再利用価値を持たない。共有秘密モデルの「DBが漏れたら照合用の秘密も流出する」という宿命を、原理的に断ち切ったのだ。後年のパスキーが「認証情報DBが漏れてもなりすませない」と言えるのは、この1976年の概念に直接由来している。

3-4. ネットワーク認証と「所持」の導入（1978〜2011）

大規模ネットワークで「毎回パスワードを平文で送る」ことの危険が認識されると、Needham＆Schroeder（1978）の鍵配送プロトコルを基盤に、MITのKerberos（1980年代後半、Project Athena）が生まれる。ここでは認証のたびに秘密そのものを送るのではなく、暗号化された「チケット」を用いる。秘密を直接伝送しないという発想は、以後の認証設計の通奏低音になる。

2000年代、Webの普及は脅威モデルを一変させた。人は数十のサービスにアカウントを持ち、同じパスワードを使い回す。一つのサイトの漏洩が、芋づる式に他サイトの乗っ取り（クレデンシャル・スタッフィング）を引き起こす。パスワード単独の限界が露呈し、所持要素の追加＝多要素認証（MFA）が要請された。

その技術的中核がワンタイムパスワード（OTP）だ。RFC 4226（2005, HOTP）とRFC 6238（2011, TOTP）は、サーバと認証アプリが共有する「種（seed）」から、カウンタや時刻に基づき毎回異なる数字を生成する仕組みを標準化した。Google Authenticator等が表示する6桁がこれである。所持（種を持つ端末）の証明を、リプレイされにくい一度限りの値で行う――これは確かにパスワード単独より大きな前進だった。

しかしOTPには、後述するように「結局は人間が画面に数字を入力する」という弱点が残った。種は所持要素だが、その証明方法が知識要素（入力する数字）に退化しているため、フィッシングや中間者攻撃で中継されうるのである。SMSで届くOTPに至っては、SIMスワップやSS7プロトコルの欠陥による傍受という別の脆弱性まで抱える。

3-5. フィッシングを構造的に断つ：FIDO2とパスキー（2014〜）

残った最大の問題はフィッシングだった。これは本質的に、「本人が入力・送信できる秘密は、本人を騙せば奪える」という共有秘密モデルの宿命である。注意喚起の研修をいくら重ねても、巧妙な偽サイトの前で人間の判断は破られる。問題は人間の不注意ではなく、設計が人間の判断に依存していることそのものにあった。

FIDO Allianceは2014年のU2F/UAFを経て、FIDO2へ到達する。FIDO2は、W3C標準のWebAuthn（ブラウザAPI、2019年に正式勧告）と、認証器との通信プロトコルCTAP2から成る。この上に構築された消費者向け実装がパスキーである。その動作原理は次の通りだ。

① 登録時: 利用者の端末またはクレデンシャル管理基盤が、そのサービス専用の公開鍵・秘密鍵ペアを生成する。公開鍵だけがサービス側へ送られる。秘密鍵の扱いはパスキーの種類で異なる（デバイス束縛では認証器の外へ取り出せない／同期パスキーでは暗号化された状態で他端末へ同期されうる）が、いずれの場合もサービス側へ送信されることはない。
② 認証時: サーバが乱数チャレンジを送る。端末は生体認証やPINで本人の意思を確認したうえで、秘密鍵でチャレンジに署名する。サーバは保管中の公開鍵で署名を検証する。秘密そのものはネットワークを流れない。
③ オリジン束縛: 署名はサービスのドメイン（オリジン）に紐づく。偽サイトでは、ブラウザが正規ドメイン用の鍵を提示しないため、利用者がどれほど騙されていても、フィッシングサイトは有効な署名を得られない。

根拠パスキーのフィッシング耐性は、人間の注意力ではなくプロトコルが保証する。ここが従来MFAとの決定的な差だ。Googleは2018年、8万5千人超の従業員にFIDO対応セキュリティキーの利用を義務づけて以降、従業員に対するフィッシング起因のアカウント乗っ取りが報告されていないと説明した。またサービス側は公開鍵しか保管しないため、認証情報データベースが漏洩しても、そこから利用者の秘密鍵を再現できない。この点で、パスワードハッシュの漏洩とは性質が根本的に異なる。共有秘密モデルが半世紀抱えてきた二つの弱点――フィッシングと、漏洩した認証情報の再利用価値――を、同時に構造的に縮減するのである。（ただし、稼働中のサーバや復旧機能そのものが完全に掌握された場合まで防げるわけではない。第6章参照。）

パスキーには二系統ある。クラウド経由で複数端末に同期される同期パスキー（synced）と、特定ハードウェアから取り出せないデバイス束縛パスキー（device-bound）だ。前者は秘密鍵が暗号化されてクラウド同期されるため利便性が高く一般利用者向け、後者は鍵が端末外へ出ず高保証だが紛失リスクを伴い特権利用者向け、という棲み分けになる。NISTは同期可能な認証器（鍵がエクスポートされうる）をAAL3では用いてはならないと明記しており、この区別はそのまま到達可能なAALの段階に対応する。

1961 ― MIT CTSS、計算機パスワードの起源。平文集中保存の事故も発生。

1976–78 ― 公開鍵暗号（Diffie–Hellman, RSA）。「検証者が秘密を持たない」認証の概念的基盤。

1979 ― Morris＆Thompson。ハッシュ＋ソルトによる「攻撃コスト設計」。

1980s ― Kerberos。秘密を直接送らないチケット型ネットワーク認証。

2003 ― NIST、複雑性＋定期変更を制度化（のちに撤回される「神話」の起点）。

2005–11 ― HOTP/TOTP標準化。所持要素＝OTPによるMFAの普及。

2010 ― Zhangら、定期変更の有効性に実証的疑義（後述）。

2019 ― WebAuthnがW3C勧告に。FIDO2の確立。

2025 ― NIST SP 800-63B-4 最終化。複雑性ルールを「SHALL NOT」とし、同期可能認証器とデバイス束縛認証器のAAL要件を明確化。

4ケーススタディ：常識はどの実証で覆されたか

ケース1：定期変更は「目的そのもの」を達成できていなかった

定期変更の建前は明快だ。「もしパスワードが盗まれていても、定期的に変えれば、いずれ攻撃者のアクセスを断てる」。一見、論理的に見える。これを正面から検証したのが、Zhang・Monrose・Reiterによる2010年のCCS論文「The Security of Modern Password Expiration」である。

彼らは7,700超の実アカウントについて、利用者が期限切れで作り直した新旧パスワードの対を分析した。鍵となる問いは「旧パスワードを知っている攻撃者は、新パスワードをどれだけ容易に推測できるか」だ。人間の変更は予測可能なパターン（末尾の数字を増やす、文字を記号に置換する=leet、大文字化など）に従う。研究チームはこれらの変換を木構造として体系化し、最適な探索順序を求める問題がNP困難であることを示したうえで、近似的に最適な探索アルゴリズムを構築した。

根拠結果は定期変更の前提を揺るがした。旧パスワードが既知のとき、オフライン解析では約41%、限られた回数のオンライン推測でも約17%の新パスワードが推測可能だった。定期変更後も無視できない割合の新パスワードが旧パスワードから予測でき、侵害済みの認証情報を確実に無効化する手段としては信頼できない。論文自体も、定期変更という慣行の意義そのものに疑問を呈し、長期的にはパスワードからの脱却を促す一証拠だと結論づけている。

同様の指摘は、米FTCの主任技術者Lorrie Cranorが2016年に行った分析にも見られる。定期変更は、攻撃を防ぐどころか、利用者を予測可能で弱いパスワードへと押しやる。「目的に資さないどころか、目的に反する」――これが定期変更が撤回された理由である。

ケース2：複雑性の強制は、理論上の強度を実効的な強度へ変換できなかった

3-2で論じた機序は、実データでも裏づけられている。構成ルールは理論上の候補空間を広げる。しかし、人間の選択が「大文字は先頭」「数字と記号は末尾」「記号は!」といった充足戦略へ集中するため、攻撃者が実際に試すべき候補は大きく偏り、理論上期待されるほど推測耐性は向上しない。攻撃者の解析ツール（確率的文脈自由文法を用いるクラッカー等）は、まさにこの偏りを学習して効率化する。ルールが攻撃者にヒントを与えているのだ。

さらに深刻なのは二次的影響である。複雑で覚えにくいパスワードは記憶できないため、利用者は使い回す。一つのサイトが漏れれば全サイトが危険にさらされる。複雑性の強制は、オフライン解析に対するわずかな利得と引き換えに、はるかに深刻なクレデンシャル・スタッフィング耐性を犠牲にしていた。NIST Rev.4が複雑性を「課してはならない（SHALL NOT）」とまで強い言葉で禁じたのは、この総合的な収支がマイナスだと結論したからである。

ケース3：「MFAを入れた」では守れない――フィッシングとMFA疲労

ここで門外漢が最も混同しやすい点を明確にしておく。二要素であることと、フィッシングに強いことは、別問題である。パスワードとSMSコードの二つを使っても、その両方を偽サイトへ入力できてしまうなら、二要素ではあってもフィッシング耐性はない。

多要素認証は確かにパスワード単独より強い。しかし「MFA」と一括りにできない段階差がある。SMS-OTPやTOTP、プッシュ通知型は、フィッシング耐性を持たない。攻撃者は中間者（AitM）プロキシで偽サイトを挟み、利用者が入力したOTPをリアルタイムで正規サイトへ中継すればよい。OTPが一度限りでも、その一度を盗んで即座に使えば破れる。

プッシュ通知型には別の弱点がある。攻撃者がパスワードを既に握っている場合、ログインを連打して利用者のスマホに承認要求を浴びせ続ける「MFA疲労（プッシュ爆撃）」だ。利用者は鳴り止まない通知に根負けして「承認」を押してしまう。これは技術ではなく人間の忍耐を突く攻撃である。

限界近年の侵害分析では、MFA疲労が無視できない割合の侵入で用いられていると報告されている。要点はこうだ――「我々はMFAを導入済み」という記述は、もはやセキュリティ対策の実体を保証しない。問われるのは「どの段階のMFAか」であり、フィッシング耐性の有無こそが分水嶺になる。CISAはフィッシング耐性MFAの正規実装を、FIDO/WebAuthnとPKIベース認証の二種に限定している。

ケース4：パスキーは何を「構造的に」消したか

これらを総合すると、パスキーの位置づけが明確になる。ケース1〜2が示したパスワード自体の限界（推測・使い回し）、ケース3が示した可フィッシングMFAの限界――この両方を、パスキーはオリジン束縛された非対称鍵によって同時に解消する。盗むべき共有秘密が存在せず（サービス側は公開鍵のみを保管）、偽サイトでは署名が成立せず、ネットワークを秘密が流れない。「人間が騙されても破られない」という性質は、注意喚起では決して到達できなかった地点である。

5実践への落とし込み：設計判断のフレームワーク

歴史と実証を踏まえ、認証設計の判断軸を整理する。中心原則はただ一つ――「対策の強さ」を抽象的に語らず、必ず脅威モデルとAALに対応づけて選ぶこと。

5-1. セキュリティレベルの対応表

認証手段	主に防げる脅威	防げない脅威	到達可能なAALの目安
パスワード単独	低（試行制御があればオンライン推測を一部）	フィッシング／使い回し／漏洩	AAL1
パスワード＋SMS OTP	単純な乗っ取りの一部	フィッシング／AitM／SIMスワップ	条件を満たせばAAL2（PSTN利用は制限付き・フィッシング耐性なし）
パスワード＋TOTP/プッシュ	クレデンシャル・スタッフィング	AitM中継／MFA疲労	条件を満たせばAAL2（フィッシング耐性なし）
生体／PINで起動する同期パスキー	フィッシング／漏洩／使い回し	同期基盤アカウントの侵害・復旧悪用	条件を満たせばAAL2
非エクスポート鍵を持つハードウェア保護型認証器	フィッシング／漏洩／鍵の持ち出し	端末紛失（＝復旧設計が要）	追加要件を満たせばAAL3

※ AALは認証器の名称だけで自動的に決まるものではない。例えば同期パスキーがAAL2に達するには、PINや生体認証を含む2要素の暗号認証器として用いられる必要がある。AAL3には、鍵のエクスポート不能性、ハードウェア保護された分離環境、フィッシング耐性、適切な暗号実装に加え、NIST適合を厳密に主張するならFIPS 140関連要件も伴う。

この表の読み方は重要だ。上から下へ単純に「強くなる」のではなく、各手段が防げる脅威の種類が違う。守りたい資産の機微度と、想定する攻撃者の能力に応じて段を選ぶ。一般従業員の業務アカウントには同期パスキー、管理者・特権アカウントにはデバイス束縛、という二層戦略が、保証と運用コストの現実的な落としどころになる。

5-2. パスワードを残す場合の設計（NIST SP 800-63B-4 と OWASP に基づく）

パスキーへ全面移行できない現実のシステムでは、当面パスワードが残る。そのとき守るべき2025年版の指針は、20世紀のそれとほぼ正反対である。

パスワードポリシーチェックリスト（2026年版）

用途に応じた最低長を必須化する：パスワードを単一要素として使う場合は最低15文字を必須。MFAの一要素として使う場合でも最低8文字を必須。最大64文字以上を許容し、スペースを含む全文字を受け入れる。
複雑性ルールを課さない：文字種の強制（大小英字・数字・記号の混在義務）はSHALL NOT。長いパスフレーズを推奨する。
定期変更を強制しない：時間経過による失効は廃止。侵害の証拠がある場合のみ変更を要求する。
ブロックリスト照合を必須化：既知の漏洩パスワード・頻出語・サービス名等を登録時に弾く（HIBP等のk-匿名APIが利用可）。
パスワードマネージャを歓迎：貼り付け（paste）と自動入力を必ず許可する。これが長くユニークな値の利用を後押しする。
レート制限とロックアウト：オンライン推測はここで止める。長さより試行制御が効く領域。
秘密の質問・パスワードヒントを使わない：推測・調査されやすく、保証を下げる。
ソルト付きの低速なパスワードハッシュで保存する：平文や高速な汎用ハッシュでは保存しない。実装上はOWASPが第一候補とするArgon2id、利用できない場合はscrypt、レガシー環境では適切なコスト設定のbcrypt等を検討する。コスト係数は、ログイン性能とDoS耐性を検証したうえで継続的に見直す。

このリストの一貫した思想は、「人間に無理を強いず、機械側で攻撃コストを上げる」ことだ。ユーザーに記号の暗記を課す（人間に無理を強いる）のではなく、ブロックリスト照合と低速なパスワードハッシュ（機械側の負担）で守る。3-1のMorris＆Thompson以来の「攻撃コストを設計する」思想が、ここに回帰している。

5-3. 移行のロードマップ

理想形（パスキー）への移行は一足飛びにはいかない。現実的な順序は次の通りだ。第一に、可フィッシングMFA（特にSMS）からの脱却を最優先する。第二に、特権アカウントからハードウェアキー／デバイス束縛パスキーを導入する（侵害の影響が最大の層から守る）。第三に、一般利用者に同期パスキーを展開し、パスワードは「フォールバック」へ降格させる。そして第四に――これが見落とされがちだが最重要――アカウント復旧フローを、本体と同等のフィッシング耐性で再設計する。次章で見るように、ここが新しい最弱点になるからだ。

6限界と注意点：パスキーは「銀の弾丸」ではない

本稿の論調はパスキーへの移行を強く支持してきたが、それを万能薬として描くのは、本稿が批判してきた「複雑性神話」と同じ過ちを繰り返すことになる。技術は脅威を消すのではなく、移動させる。新しい弱点を直視しておく。

6-1. 弱点は「秘密」から「復旧フロー」へ移動する

パスキーがログイン本体を堅牢にすると、攻撃者は最も弱い迂回路を探す。それが「パスワードを忘れた」「パスキーを失くした」といったアカウント復旧フローだ。ここがメールやSMSによる旧来の確認に依存していれば、パスキーが排除したはずの脆弱性が裏口から再侵入する。認証チェーンの強度は、最も弱い環で決まる。復旧設計を本体と同等に固めない限り、パスキー導入の効果は大きく減じる。英国NCSCも、パスキーで本体ログインが強固になるほど、攻撃者がアカウント復旧やリセットへ標的を移すと指摘している。

6-2. ダウングレード攻撃と同期基盤への集中

移行期には、攻撃者がAitMプロキシで「パスキーが使えない」と偽装し、フォールバックの可フィッシング手段（パスワード＋OTP）へ強制的に引き戻すダウングレード攻撃が予想される。フォールバックが存在する限り、システム全体のフィッシング耐性はフォールバックの水準に律速される。英国NCSCは2025年の分析で、フォールバックを完全に廃止するまで利用者は本来の便益を得にくいと指摘している。

また同期パスキーでは、複数端末へ鍵を同期する「同期基盤（クラウドアカウント）」が新たな急所になる。FIDO2仕様は同期基盤の最低セキュリティ要件を定めておらず、実装はベンダー任せだ。同期基盤アカウントがフィッシング耐性で保護され、安全な復旧手段を備えていることが前提となる。

6-3. 生体認証は「秘密」ではない

顔や指紋は便利だが、変更できないという性質を忘れてはならない。漏洩したパスワードは変えられるが、漏洩した指紋テンプレートは作り直せない。さらに生体情報は「秘密」ではない（顔は公開され、指紋は物に残る）。パスキーにおいて生体認証が安全に機能するのは、それが遠隔送信される秘密ではなく、端末内でローカルに秘密鍵を解錠する所持の確認として使われているからだ。この区別を曖昧にし、生体情報そのものをサーバへ送る設計は、回復不能な漏洩リスクを生む。

6-4. パスキーは「認証後のセッション」を守るものではない

見落とされがちな限界がもう一つある。パスキーが保護するのは、主として認証時の資格情報である。認証に成功した後にサーバが発行するセッションクッキーが、端末上のマルウェア（インフォスティーラー）や悪意あるブラウザ拡張によって盗まれれば、攻撃者はパスキーを再実行することなくセッションを乗っ取れる場合がある。同様に、認証後のOAuth同意フィッシングや、認可設定のミスによる権限の踏み越えも、パスキーの守備範囲の外にある。

したがって、パスキー導入後も、端末そのものの保護、短寿命のセッション、継続的なリスク評価、トークンのデバイス束縛といった「認証の後段」の対策は不可欠だ。「ログインを堅牢にした」ことと「セッション全体が安全になった」ことは、ここでも別問題である。

6-5. 規範の射程と地域差――NISTは万能の物差しではない

本稿が依拠したNIST SP 800-63は米国連邦政府の技術ガイドラインであり、それ自体が日本を含む各国の法ではない。OWASPやBSI、ANSSI等が段階的に整合させつつあるとはいえ、NISTの推奨をそのまま他の規格へ適用できるわけではない。

限界象徴的なのがPCI DSSだ。PCI DSS 4.x（4.0.1）には、パスワードを単一要素として使う場合、依然として「少なくとも90日ごとの変更」または「アカウントのセキュリティ状態を動的に分析する」ことを求める要件（8.3.9）が残っている。さらにPCI DSSは最低12文字＋英数字混在という構成要件（8.3.6）を保持しており、これはNISTの「構成ルールを課すな」とむしろ逆方向である。つまり、NISTとPCI DSSを同じ方向としてまとめることはできない。組織はNISTだけでなく、適用される法令・契約・業界規格を個別に確認しなければならない。

日本国内でも主要サービスのパスキー対応は進むが、レガシーシステムの制約、復旧運用、利用者リテラシーといった社会的条件が普及の律速になる点には諸説あり、技術的優位がそのまま現場の安全を意味しないことには留保が要る。

7まとめ：認証の歴史が与える「判断の軸」

半世紀の認証史を貫く因果線を、改めて一文に圧縮すれば次のようになる。認証の進化とは、「人間が記憶し入力する共有秘密」を、「機械が保持しドメインに束縛される非対称な秘密」へ置き換えていく過程であった。なぜなら、人間が入力できる共有秘密は、原理的に必ずフィッシング可能で、再利用可能だからだ。パスワードからパスキーへの流れは、この一貫した論理の現在の到達点にすぎない。

しかし本稿が読者に残したい最大の収穫は、特定技術の優劣そのものではない。それはセキュリティ対策を評価する作法である。複雑性と定期変更の神話が30年も生き延びたのは、それが「もっともらしい数学的モデル」に支えられ、監査基準というコンプライアンスの鎧をまとったからだった。誤りは数学にではなく、「数学モデルを、現実の人間行動の検証なしに運用ルールへ翻訳した」ことにあった。

ゆえに、認証に限らずあらゆる対策について、問うべきは三つである。第一に、その対策は具体的にどの脅威モデルに効くのか（万能薬を疑う）。第二に、それは数学上の強度か、それとも実際の人間行動を織り込んだ実効強度か（実証を見る）。第三に、それは脅威を消すのか、それとも別の場所へ移動させるだけなのか（新しい最弱点を探す）。

この三問は、いままさにパスキー時代の設計者へ跳ね返ってくる。パスキーは「複雑性＋定期変更」という旧い神話を葬ったが、その代わりに「復旧フロー」「フォールバック」、そして「認証後のセッション」という新しい急所を浮かび上がらせた。次の10年、攻撃者の主戦場と防御の焦点は、ログイン本体からそこへ移る。理解を更新するとは、正解を暗記することではなく、こうして問いの所在が動いていく構造そのものを掴むことに他ならない。

8参考文献

Morris, R., & Thompson, K. (1979). Password Security: A Case History. Communications of the ACM, 22(11), 594–597. DOI:10.1145/359168.359172
Diffie, W., & Hellman, M. E. (1976). New Directions in Cryptography. IEEE Transactions on Information Theory, 22(6), 644–654. DOI:10.1109/TIT.1976.1055638
Rivest, R. L., Shamir, A., & Adleman, L. (1978). A Method for Obtaining Digital Signatures and Public-Key Cryptosystems. Communications of the ACM, 21(2), 120–126. DOI:10.1145/359340.359342
Needham, R. M., & Schroeder, M. D. (1978). Using Encryption for Authentication in Large Networks of Computers. Communications of the ACM, 21(12), 993–999. DOI:10.1145/359657.359659
Adams, A., & Sasse, M. A. (1999). Users Are Not the Enemy. Communications of the ACM, 42(12), 40–46. DOI:10.1145/322796.322806
Zhang, Y., Monrose, F., & Reiter, M. K. (2010). The Security of Modern Password Expiration: An Algorithmic Framework and Empirical Analysis. Proceedings of the 17th ACM Conference on Computer and Communications Security (CCS '10), 176–186. DOI:10.1145/1866307.1866328
Florêncio, D., & Herley, C. (2007). A Large-Scale Study of Web Password Habits. Proceedings of the 16th International Conference on World Wide Web (WWW '07), 657–666. DOI:10.1145/1242572.1242661
Provos, N., & Mazières, D. (1999). A Future-Adaptable Password Scheme. Proceedings of the USENIX Annual Technical Conference, FREENIX Track, 81–91.
Biryukov, A., Dinu, D., & Khovratovich, D. (2016). Argon2: New Generation of Memory-Hard Functions for Password Hashing and Other Applications. IEEE European Symposium on Security and Privacy (EuroS&P), 292–302. DOI:10.1109/EuroSP.2016.31
Lang, J., Czeskis, A., Balfanz, D., Schilder, M., & Srinivas, S. (2016). Security Keys: Practical Cryptographic Second Factors for the Modern Web. Financial Cryptography and Data Security (FC 2016), Lecture Notes in Computer Science. ＜Google社の従業員向けセキュリティキー導入の技術的背景にあたる原著論文＞
M'Raihi, D., Bellare, M., Hoornaert, F., Naccache, D., & Ranen, O. (2005). HOTP: An HMAC-Based One-Time Password Algorithm. RFC 4226, IETF. ／ M'Raihi, D., Machani, S., Pei, M., & Rydell, J. (2011). TOTP: Time-Based One-Time Password Algorithm. RFC 6238, IETF.
World Wide Web Consortium (W3C). (2021). Web Authentication: An API for accessing Public Key Credentials, Level 2. W3C Recommendation.（現行の発展仕様としてLevel 3が策定中）
FIDO Alliance. Passkeys / FIDO2 (WebAuthn & CTAP) Specifications Overview.
Cybersecurity and Infrastructure Security Agency (CISA). (2022). Implementing Phishing-Resistant MFA（公的機関のガイダンス資料）.
National Cyber Security Centre (UK). (2025). Comparing the security properties of traditional user credentials and FIDO2 credentials for personal use（パスキーの限界・復旧/フォールバック面の分析）.
Grassi, P. A., Garcia, M. E., & Fenton, J. L. ほか (2025). Digital Identity Guidelines: Authentication and Authenticator Management. NIST Special Publication 800-63B-4（特に AAL 区分・Appendix B「Syncable Authenticators」）. National Institute of Standards and Technology. DOI:10.6028/NIST.SP.800-63b-4
Cranor, L. F. (2016). Time to Rethink Mandatory Password Changes. U.S. Federal Trade Commission, Tech@FTC（公的機関の技術解説資料）.
PCI Security Standards Council. (2024). Payment Card Industry Data Security Standard (PCI DSS) v4.0.1（特に要件 8.3.6／8.3.9）.

※ 本稿のNIST関連記述は SP 800-63B Revision 4（2025年8月最終化、2017年版を更新・置換）に基づく。AAL区分、複雑性・定期変更に関する規定、同期／デバイス束縛パスキーのAAL対応は同文書および付録に依拠する。なおAAL2におけるフィッシング耐性は「選択肢の提供義務」であり、全トランザクションでの必須化を一般要件とするものではない（米国連邦職員等には別途要求される）。