Go to Qiita Advent Calendar Top
LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@kubo4ka

NIST SP 800-63 認証ガイドラインの変遷

Posted at

NIST SP 800-63 認証ガイドラインの変遷

公式リンク一覧(原文)

リンク
SP 800-63 初版 2004 https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-63ver1.0.2.pdf
SP 800-63-1 2011 https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-63-1.pdf
SP 800-63-2 2013 https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63-2.pdf
SP 800-63-3 2017 https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63-3.pdf
SP 800-63-4 (Draft2) 2022 https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63-4.ipd.pdf
SP 800-63-4 (Final) 2025 https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63-4.pdf

ざっくり時系列(箇条書き)

  • 2004(SP 800-63 初版)
    • 認証ガイドラインの初期確立
    • 当時は 複雑性と定期変更が一般常識
  • 2011(SP 800-63-1)
    • 定期変更の推奨が明示
    • 大/小/数字/記号の複雑性ルールが主流に
    • MFA(多要素認証)の必要性が提起
  • 2013(SP 800-63-2)
    • 文字種の複雑性ルールがさらに強調
    • 一方「メモ」「使い回し」など人間の運用弱点が表面化し始める
  • 2017(SP 800-63-3)★大転換
    • 定期変更の強制を撤廃
    • 複雑性より長さと漏洩チェック重視
    • パスワード変更は 漏洩時のみ
    • コピペ制限、秘密の質問、記号必須などを非推奨
    • 「人間がミスしにくい設計」思想へ転換
  • 2022(SP 800-63-4 Draft2)
    • 63-3の思想を継承
    • FIDO2 / Passkey など公開鍵認証推奨を明確化
    • SMS OTP への依存を懸念(フィッシング/SS7リスク)
  • 2025(SP 800-63-4 Final)
    • フィッシング耐性のある認証(Passkey/FIDO2)を最優先
    • パスワードは依然使用可能だが、推奨レベルは低下
    • 「人間が頑張らず安全が維持できる設計」が前提

主要比較表

年 / 版 定期変更 文字種の複雑性要求 長さ要件 変更トリガー MFAの位置づけ Passkey/FIDO
2004 事実上推奨 推奨 8+(文化的常識) 定期 ほぼ言及なし 想定外
2011 ✅ 推奨 ✅ 推奨 8+ 定期 必要性に言及 なし
2013 ✅ 強く推奨 ✅ 強く推奨 8+ 定期 有用性を明記 なし
2017 ❌ 不要 △ 非推奨 8--64+推奨 漏洩時 推奨 有効性評価
2022 ❌ 不要 △ 非推奨 8--64+ 漏洩時 強く推奨 明確に推奨
2025 ❌ 不要 △ 非推奨 15+推奨 漏洩時 標準前提 最優先推奨

変遷の本質

時期 主軸 キーワード
〜2013 システム主導 複雑、定期変更、人間が頑張る
2017 人間中心設計へ 長さ、漏洩検知、負担削減
2025 パスワードの限界突破 Passkey, 署名認証, フィッシング耐性

誤解と歴史的に分かってきた真実

誤解 真実
定期変更が安全 ❌ → ✅逆効果。漏洩時のみ変更が良い
複雑な記号パスワードが強い ❌ → ✅長さが強さ
まだパスワードが主役 △ → ✅Passkey/FIDOが推奨へ
人間が頑張ることが安全 ❌ → ✅頑張らないほど安全

参考リンク(関連仕様)

名称 リンク
WebAuthn(W3C) https://www.w3.org/TR/webauthn-2/
FIDO Alliance https://fidoalliance.org/
RFC 8446(TLS1.3) https://datatracker.ietf.org/doc/html/rfc8446
OWASP ASVS https://owasp.org/

結論: 現代のNIST認証思想は
「人間を努力させない」「漏洩前提」「署名認証優先」「フィッシング耐性が最優先」

以降はちょっと詳細版です

NIST認証ガイドラインの変遷(ちょっと詳細版)

ざっくり時系列(箇条書き、ちょっと詳細版)

年 / 版 概要 補足
2004(SP 800-63 初版) 認証ガイドラインの初期確立。当時は 複雑性と定期変更が一般常識 パスワードは「あなたが知っている秘密 (something you know)」という認証要素(トークン)として扱われていました。複雑性ルール(文字種の要求)は、オフライン辞書攻撃への耐性を高めるためのエントロピー(破られにくさ)の「ボーナス」 を与えるために存在していました。
2011(SP 800-63-1) 定期変更の推奨が明示。大/小/数字/記号の複雑性ルールが主流に。MFA(多要素認証)の必要性が提起 このバージョンで複雑性の要求は、エントロピーの増加を目的として強調されています。認証保証レベル(LOA)3および4を達成するためには、多要素認証(MFA) が求められていました。
2013(SP 800-63-2) 文字種の複雑性ルールがさらに強調。一方「メモ」「使い回し」など人間の運用弱点が表面化し始める この版は63-1の限定的な更新であり、主に登録プロセスに焦点が当てられました。パスワードが覚えにくくなると、ユーザーが書き留めてしまうなど、セキュリティを損なう行動につながる可能性が指摘され始めています。この版まで、認証強度は単一の保証レベル (LOA) (レベル1~4) で定義されていました。
2017(SP 800-63-3)★大転換 定期変更の強制を撤廃複雑性より長さと漏洩チェック重視。パスワード変更は 漏洩時のみ。コピペ制限、秘密の質問、記号必須などを非推奨。「人間がミスしにくい設計」思想へ転換 この版で認証モデルがIAL/AAL/FALの3つの独立した保証レベルに大きく再構築されました。また、認証要素の用語が「トークン (Token)」から「オーセンティケーター (Authenticator)」に変わりました。事前に登録された知識トークン(秘密の質問) は、しばしば非常に弱いパスワードの特殊なケースとして認識され、認証要素としての利用が廃止されました。
2022(SP 800-63-4 Initial Public Draft) 63-3の思想を継承。FIDO2 / Passkey など公開鍵認証推奨を明確化。SMS OTP への依存を懸念(フィッシング/SS7リスク) この草稿(ipd)では、FIDOパスキーなどの新しい認証モデルや技術がガイドラインで十分に考慮されているか、レビューアに問われました。また、リスク管理プロセスに使いやすさ(Usability)や公平性(Equity) の考慮が義務付けられました。従来のパスワード(メモライズド・シークレット)は、暗号鍵に比べて脆弱性があることが認識されています 。
2025(SP 800-63-4 Final) フィッシング耐性のある認証(Passkey/FIDO2)を最優先。パスワードは依然使用可能だが、推奨レベルは低下。「人間が頑張らず安全が維持できる設計」が前提 この最終版では、認証プロセスの堅牢性を示すAALのより高いレベルで、フィッシング耐性を持つオーセンティケーター(例:公開鍵暗号に基づくPasskeyなど)の使用が推奨されます。認証は、パスワードの提示ではなく、鍵の所持と制御を証明する暗号プロトコル(署名認証) によって実現されるべきという思想が強化されています。顧客体験(Customer Experience) の考慮がリスク管理に組み込まれています。

主要比較表(ちょっと詳細版)

年 / 版 認証保証レベル 定期変更 文字種の複雑性要求 長さ要件 変更トリガー MFAの位置づけ 公開鍵認証(Passkey/FIDO)
2004 LOA (Level 1-4) 事実上推奨 ✅ 推奨 (Entropyボーナス) 6+ / 8+(Level 1) 定期 (運用による) LOA 3/4で必須 想定外
2011 LOA (Level 1-4) ✅ 推奨 ✅ 推奨 (複雑性ボーナス 6bit) 6+ / 8+ (Level 1) 定期 LOA 3/4で必須 なし
2013 LOA (Level 1-4) ✅ 強く推奨 ✅ 強く推奨 6+ / 8+ (Level 1) 定期 LOA 3/4で必須 なし
2017 AAL (1-3) へ分割 ❌ 不要/非推奨 △ 非推奨 8--64+ (AAL1) 漏洩時 AAL2以上で強く推奨 推奨 (AAL3で強力)
2022 AAL (1-3) ❌ 不要/非推奨 △ 非推奨 8--64+ 漏洩時 強く推奨 明確に推奨
2025 AAL (1-3) ❌ 不要/非推奨 △ 非推奨 8--64+ 漏洩時 標準前提 (AAL2/3) 最優先推奨 (フィッシング耐性)

注: 2004/2011/2013年版では、パスワード(Memorized Secret Token)はレベル1および2で使用可能でした。

変遷の本質(ちょっと詳細版)

時期 主軸 キーワード 補足
〜2013 システム主導 複雑、定期変更、人間が頑張る 秘密の共有。「あなたが知っている秘密」の提示が認証の中心でした。オフライン辞書攻撃への耐性を高めるためにエントロピー(複雑さ)を要求しました。
2017 人間中心設計へ 長さ、漏洩検知、負担削減 秘密の管理/使いやすさ。使いやすさ(Usability)を重視し、人間的な弱点(メモ、使い回し)に起因する攻撃を防ぎました。用語も「トークン」から 「オーセンティケーター」 へ変更されています。
2025 パスワードの限界突破 Passkey, 署名認証, フィッシング耐性 鍵の所持と制御の証明。従来のパスワードの限界を認識し、フィッシング耐性暗号プロトコル(署名)による認証を最優先しています。リスク管理に顧客体験(Customer Experience) が組み込まれました。

誤解と歴史的に分かってきた真実(ちょっと詳細版)

誤解 真実 補足
定期変更が安全 ❌ → ✅逆効果。漏洩時のみ変更が良い 2017年のSP 800-63-3で、定期的なパスワード変更の強制が廃止されました。
複雑な記号パスワードが強い ❌ → ✅長さが強さ 初期のガイドラインでも、長さによるエントロピーの増加が、文字種の複雑さのボーナス(6ビット)よりも重要であると示唆されています。
まだパスワードが主役 △ → ✅Passkey/FIDOが推奨へ 従来のパスワード(メモライズド・シークレット)は脆弱であると認識されており、2022/2025年版では公開鍵認証(FIDOパスキーなど)が明確に推奨されています。
人間が頑張ることが安全 ❌ → ✅頑張らないほど安全 2017年以降のガイドラインは、ユーザーがミスしにくい設計(使いやすさ/Customer Experience)をリスク管理プロセスに組み込んでいます。
0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?