この記事は「コラボスタイル 1 Advent Calendar 2025」の7日目の記事です🎄
はじめに
こんにちは!
最近サ終したゲームのキャラにハマってしまい、Blenderを勉強し始めました。
推しに自力で会おうと暴れる日々は楽しいですね!💪
さて、7日目であるこちらの記事は 「パスワード」 のお話です。
2025年7月に、NISTのデジタルIDガイドライン(SP 800-63-4/63B-4)の最終版が公開され、パスワードの考え方が改めて注目されました。
実はパスワードの常識が ガラッと変わっている のです。
コラボフローのパスワード設定にも関わる話なので、ぜひ最後まで読んでいってください!
パスワードの新常識:記号と数字の混在は、もう要らない
「パスワードには大文字・小文字・数字・記号を混ぜましょう!」
これが長年の常識でしたよね。
でも、NISTの新ガイドラインでは、こうです。
「異なる文字タイプの混在を義務付けるべきではない」
NISTの新ガイドライン、ざっくりまとめ
NISTとは、アメリカの政府機関でセキュリティの世界ではかなり影響力があります。
2022年に最初の草案が公開され、その後の改訂を経て、2025年7月に正式版(SP 800-63B-4)がリリースされました。
正式版になったことで今年あらためて話題になり、ニュースやブログがたくさんおすすめで流れてきた方も多いのではないでしょうか。
新ガイドラインの主なポイントはこちらです!
| 項目 | 従来の常識 | 新しい推奨 |
|---|---|---|
| 記号・数字の混在 | 必須 | 義務付けるべきではない |
| 定期的な変更 | 90日ごとなど | 不要(漏洩時のみ変更) |
| パスワードの長さ | 8文字以上 | 15文字以上(パスワード単独利用時は必須) |
| 秘密の質問 | よく使われていた | 禁止 |
| 漏洩パスワードのチェック | 特になし | ブロックリストで必ず弾く |
なぜ「記号を混ぜよう」のルールが見直されたのか
かなり大幅な見直しが行われましたが、その理由がこちらです。
1. 記号や数字を混ぜて複雑になったパスワードは人間が覚えられない
「記号を必ず入れてください」と言われると、我々人間には急に覚えにくくなってしまいますよね。
覚えるために、予測可能なパターンを使ってしまいがちなのが現実です。
例) 最後に ! つけがち。a を @ にしがち。
Password1!P@ssw0rdCompany2025!
攻撃者もこのパターンを知っているので、年々あまり意味のないパスワードになってきてしまいました。
2. 覚えられないから、ずさんな管理になる
例)
- 付箋にメモしてディスプレイに貼る
- 全部同じパスワードを使い回す
- 定期変更しても、予測が可能なパスワードルール
password123→password124→password125...
これはあるあるですよね。
複雑なルールが人間の運用にあっておらず、かえってセキュリティを下げていたと見直しが行われたのです。
では、どうすればよいでしょうか?
新しいガイドラインが推奨するのは、こんなパスワードです。
良いパスワードの例
きょうのばんごはんはオムライスです
kyounobangohanhaomuraisudesu
え、これでいいの?と思われたかもしれません。
でも、これは 28文字 あります。
8文字の複雑なパスワードより、はるかに破られにくいんです。
ポイントは「長さ」
- 短くて複雑 → ❌ 覚えにくい、パターン化しやすい
- 長くてシンプル → ⭕ 覚えやすい、破られにくい
これは「パスフレーズ」と呼ばれる方式です。
自分だけがわかる文章を使えば、覚えやすくて強いパスワードになります。
なお、SNSにそのまま書きそうな文章や、自分の名前・会社名・サービス名を含む文章は避けましょう。また、サービスごとにパスワードを使い分けることも重要です。
コラボフローのパスワード設定を見直してみよう
さて、ここからが本題。コラボフローの話です。
コラボフローでは、管理者がパスワードポリシーを設定できます。
システム管理エリア > 環境設定 > セキュリティ設定 から、以下の設定が可能です。
| 設定項目 | 内容 |
|---|---|
| 最低文字数 | パスワードの最小文字数を指定 |
| 複雑さ | 大文字・小文字・数字・記号の要件 |
| 有効期間 | パスワードの有効期限 |
| 変更制限 | 前回と同じパスワードを使えるかどうか |
NISTガイドラインを踏まえた設定の考え方
もし今「最低文字数を無制限」や「記号を必須」と言った設定にしている方は、この設定のせいで簡単なパスワードにしてしまいがちな状況になっていないか、見直しの余地があるかもしれません。
NISTガイドラインを踏まえると、コラボフローで行うべき設定は以下です。
- 最低文字数:15文字
- 利用文字種:制限なし
- 有効期間:無制限
- 変更制限:有効化しない
もちろん、組織のセキュリティポリシーや他システムとの兼ね合いもあるので、今すぐNISTガイドラインに沿った制限に変更しましょう、という案内ではありません。
そのためコラボフローでは引き続き記号を必須にするなどのルールを管理者が設定できるまま提供を行います。
でも「なんとなく厳しくしておけば安全」という考えから、人間が使いやすく、セキュリティレベルの高いパスワードにルールを変えていこうと考える時期に来ているのかもしれませんね。
パスワード以外の対策も大事
とはいえ、パスワードだけに頼るのは限界があります。
NISTのガイドラインでも、多要素認証(MFA)の活用が推奨されています。
コラボフローでMFAを使うには?
コラボフローでは、SAML認証でIdP(認証サービス)と連携することで、IdP側で設定したMFAをコラボフローのログインにも適用できます。
対応しているIdPは以下の通りです。
- Microsoft Entra ID(旧Azure AD)
- Google Workspace
- HENNGE One
- CloudGate UNO
- トラスト・ログイン
- LINE WORKS
- Okta
すでにこれらのサービスを利用している組織であれば、IdP側でコラボフロー用のSAMLアプリにMFAを必須にすることで、コラボフローのログインにもMFAをかけることができます。
その他のセキュリティ機能
コラボフローには他にもセキュリティ機能があります。
- IPアドレス制限:接続元IPを制限
- アカウントロック:パスワード総当たり攻撃への対策
- BASIC認証:追加の認証レイヤー
パスワードポリシーと合わせて、是非これらの機能もご活用ください!
まとめ
| ポイント | 内容 |
|---|---|
| 記号・数字の混在 | もう必須じゃない |
| 定期変更 | 漏洩時だけでOK |
| 大事なのは | 長さ(15文字以上推奨) |
| コラボフローで何かするなら | パスワードポリシー設定を見直してみよう |
| さらに安全に | SAML連携でMFAを活用 |
この記事が、コラボフローに限らず会社や普段ご利用のパスワード管理はどうすると無理なくセキュリティレベルが上がるか、考えてみるきっかけになれば幸いです😊
参考資料
「ワークスタイルの未来を切り拓く」を理念に掲げ、リアルとデジタルの2つの働く場に向けた事業展開に留まらず、自社が率先して新しいワークスタイルに挑戦し、発信を行うことでワークスタイルの未来を切り拓いていきます。
Discussion