ホームIT Admin Blog

NIST SP 800-63B Rev 4: パスワードマネージャーと自動入力がついに「必須要件」へ

Keeper
デジタルアイデンティティのガイドラインとして世界的に参照される「NIST SP 800-63B」。その最新版であるRevision 4 (以下Rev 4) では、パスワード管理ツール (パスワードマネージャー) の扱いにおいて、歴史的な転換点になるような変更が行われました。
これまでは「コピー&ペーストを許可すべき(推奨)」という間接的な表現にとどまっていましたが、Rev 4 では「パスワードマネージャーと自動入力を許可しなければならない(必須)」という、極めて強い表現へと変更されています。
今回は、Rev 3とRev 4の比較を通じて、IT管理者が今取り組むべき「パスワード運用」のスタンダードを解説します。

1. 「貼り付けの許可」から「利用の許可」へ (最大の変更点)

最も大きな変更は、サービス提供者 (Verifier) に対する要件の厳格化です。
  • Revision 3 (旧版): 「貼り付け」機能の許可を推奨 (SHOULD) するにとどまり、ツール自体の利用許可については間接的な言及でした。
  • Revision 4 (新版): パスワードマネージャーと自動入力の許可が、明確に義務 (SHALL) として規定されました。
Rev 4 (Sec. 3.1.1.2): Verifiers SHALL allow the use of password managers and autofill functionality.
「自動入力の許可は必須 (SHALL)」であり、それが技術的に動かない場合の保険として「貼り付け許可も推奨 (SHOULD)」という、ツール利用を前提とした二段構えの構成になっています。

2. 人間の記憶に頼る運用の限界とツールの必要性

なぜ、NISTはここまで踏み込んだのでしょうか。それは、「人間にパスワードを管理させること自体がセキュリティリスクである」という現実を認めたからです。
人間が記憶できる範囲でパスワードを作ろうとすると、どうしても「短く、予測可能で、使い回しの多い」ものになります。Rev 4では、ランダムなパスワードを生成する機能 (パスワードジェネレーター) を備えたパスワードマネージャーを利用することで、初めて強力なパスワードの利用が現実的になると明記されました。
IT管理者は、「社員の記憶力」に依存したパスワードセキュリティモデルを捨て、ツールによって「複雑性を機械にアウトソーシングする」というパラダイムシフトを受け入れる必要があります。

3. 「同期可能な認証器」としての進化

Rev 4では新たに「同期可能な認証器」という概念が登場しました。これにより、パスワードマネージャーは単なる「文字列の保存箱」から、パスキーなどの暗号鍵をデバイス間・ユーザー間で安全に同期する「認証デバイス」へと正式に格上げされました。

4. IT管理者がとるべきアクション: 導入と統制

この規格変更をうけ、組織のIT管理者は以下の3つのポイントで動く必要があります。

① 「個人任せ」ではなく「組織」での導入

Webブラウザ標準のパスワード保存機能や個人管理のフリーソフトに依存するのではなく、IT管理者が統制・監査できる法人向けパスワードマネージャーを選定してください。
  • 信頼性: セキュリティ認証 (SOC2等) を取得しているか。
  • 統制: 誰がどの情報にアクセスしているかログが取れるか。
  • 保護: 退職者のアクセス権を即座に剥奪できるか。

② システム導入時の「自動入力テスト」の実施

SaaSや社内システムを導入・構築する際は、パスワードマネージャーの自動入力が正しく動作するかを必ず検証してください。
  • 外部システムの場合: 自動入力がブロックされる、あるいは正常に検知されない場合は、ベンダーに「NIST Rev 4準拠」の観点から改善を依頼しましょう。
  • 内製システムの場合: HTMLのフォーム設計において、適切な autocomplete 属性を設定するなど、自動入力を阻害しない開発要件を組み込むことが必須となります。
※Webブラウザ上でのパスワードマネージャーの利用を想定しています

③ ユーザビリティの確保

Rev 4でも触れられている通り、自動入力とコピー&ペーストの両方をサポートすることが、ユーザーの利便性とセキュリティを両立させる唯一の道です。またパスワードマネージャーそのものの利便性と安全性を高めるため、組織の ID 基盤サービス (Entra ID、Okta など) と統合することが推奨されます。

5. まとめ

NIST SP 800-63B Rev 4への改訂は、パスワードマネージャーを「便利なツール」から「安全な認証に欠かせないインフラ」へと定義し直しました。
  • Rev 3: 貼り付けを許可すべき (SHOULD)
  • Rev 4: パスワードマネージャーと自動入力を許可しなければならない (SHALL)
IT管理者の皆様は、この世界基準の変化を追い風に、パスワードマネージャーを軸とした「脱・記憶」のセキュリティ戦略を推進していきましょう。

パスワード管理とID認証の最適化、ZUNDAにお任せください

NIST SP 800-63B Rev 4への準拠は、単なるツールの導入ではなく、組織全体のアイデンティティ管理(IAM) を見直す絶好の機会です。
私たち ZUNDA は、企業の「鍵」を守るIDソリューションのエキスパートです。
  • Keeper の国内屈指のパートナー: 日本国内で豊富な導入実績を持つ法人向けパスワードマネージャー「Keeper」 の正規パートナーとして、セキュアなパスワード管理環境の構築を支援します。
  • IDaaS連携の豊富な知見: Microsoft Entra IDOkta の導入・運用経験も豊富です。Keeper とこれらの IDaaS を連携させ、管理の集約化と高度なガバナンスを同時に実現します。
  • 「パスワードをなくす」アプローチ: パスワードマネージャーによる管理の徹底はもちろん、シングルサインオン (SSO) やパスキーを活用し、最終的に「ユーザーにパスワードを意識させない (認証の簡略化)」という一歩進んだ解決策もご提案可能です。
  • 規模を問わない柔軟なアドバイス: スタートアップから大規模なエンタープライズまで、組織のフェーズや現在のシステム構成に合わせた現実的かつ効果的なアドバイスを行います。
「既存のシステムがNISTの要件を満たしているか不安」「自社に最適なパスワードマネージャーの運用方法を知りたい」といったご相談は、ぜひZUNDAまでお気軽にお寄せください。

関連記事

ZUNDA CONNECT ROUTERZUNDA IDMicrosoft TeamsMicrosoft DefenderMicrosoft IntuneAIIT Admin RadioGoogle WorkspaceMicrosoft 365KeeperJamf ProCloudflareWindows PCMackuromameその他の商品サポートコーポレートサイトPodcastコンサルティングイベントZUNDAID管理Iru(旧Kandji)Oktaリリースノート機能紹介翻訳記事導入事例