中小企業のパスワード管理｜情シス1人でも実践できる安全な運用ルール

「社員のパスワードが全部同じだった」「退職者のアカウントがそのまま残っていた」――中小企業の情シス担当者なら、一度はヒヤッとした経験があるのではないでしょうか。

パスワード管理の不備は、不正アクセスや情報漏洩の直接的な原因になります。しかし、大企業のように専用のID管理システムを導入する予算がない中小企業も多いのが現実です。

この記事では、情シス1人体制の中小企業でも無理なく実践できるパスワード管理のルール作りと、具体的な運用方法を現場目線で解説します。パスワードマネージャーの製品比較・段階別導入ロードマップ・Active Directory / Google Workspace の設定手順・FAQも新たに追加しています。

パスワード管理がなぜ重要なのか

パスワードは、社内システムやクラウドサービスへの「入口の鍵」です。この鍵の管理がずさんだと、攻撃者にとっては正面玄関から堂々と入れる状態になります。

実際に、情報漏洩インシデントの原因を調査すると「認証情報の漏洩・窃取」が上位に位置するケースが多く報告されています。パスワードの使い回し、単純なパスワード、退職者アカウントの放置――こうした「ありがちなミス」が重大な事故につながります。

特に中小企業では、1つのアカウントを複数人で共有していたり、パスワードが付箋でモニターに貼られていたりする光景が珍しくありません。攻撃者はこうした弱点を知っており、ターゲットとして狙ってきます。

実際のインシデント事例：使い回しパスワードが招いた被害

抽象的な話だけでは危機感が伝わりにくいため、実際に起こりやすい被害パターンを具体的に紹介します。

事例1：クレデンシャルスタッフィング攻撃による不正アクセス

従業員30名の製造業A社では、社員の多くが業務用メールアドレスと同じパスワードを複数サービスで使い回していました。ある日、大手SNSサービスの情報漏洩事件が発生。攻撃者はその漏洩リストを使い、A社の社内VPNへのログインを自動的に試行しました。

結果、3名分のアカウントでVPNへの侵入に成功。社内の見積書・顧客情報・取引先メールが丸ごと持ち出されました。被害総額は調査費用・対応費用・顧客対応を含め200万円超に上ったと報告されています。

事例2：退職者アカウントを悪用した内部不正

IT企業B社では、営業担当者が退職後も3ヶ月間アカウントが有効なままでした。退職した元社員は自分のアカウントでCRMシステムにログインし続け、顧客情報を競合他社に持ち出していたことが発覚。民事訴訟に発展しました。

退職者アカウントの即日停止という「当たり前の手順」を怠っただけで、取り返しのつかない事態になります。

事例3：パスワード使い回しによるビジネスメール詐欺

小売業C社では、経理担当者のメールアカウントが乗っ取られました。攻撃者は数週間にわたりメールを監視し、取引先とのやり取りを把握。適切なタイミングで「振込先口座が変わりました」という偽メールを送り、約150万円の不正送金が発生しました。

アカウント乗っ取りの原因は、フィッシングで入手した別サービスと同一のパスワードでした。

危険なパスワード運用の実態

自社に当てはまるパターンがないか確認してください。

• パスワードの使い回し：複数サービスで同じパスワードを使っている。1つが漏洩すると芋づる式に被害が拡大します
• 単純なパスワード：「password123」「company2026」のような推測しやすい文字列を使用している
• 共有アカウントの常態化：部署で1つのアカウントを全員で使い回しており、誰がいつログインしたか追跡できない
• 退職者アカウントの放置：退職した社員のアカウントが有効なまま残っている
• 紙やメモへの記録：パスワードを付箋やメモ帳に書いてデスク周りに保管している
• メール・チャットでの平文共有：パスワードをそのままメールやチャットで送っている

1つでも当てはまる場合は、早急な改善が必要です。

安全なパスワードポリシーの作り方

パスワードポリシーとは、「パスワードはこう作り、こう管理する」という社内ルールのことです。NIST（米国国立標準技術研究所）のガイドライン（SP 800-63B）を参考に、中小企業向けに現実的なポリシーを整理します。

1. パスワードの長さと複雑さ

従来は「8文字以上・英数字記号の組み合わせ」が推奨されてきましたが、現在のNISTガイドラインでは、長さを重視する方向に変わっています。

• 最低12文字以上：短いパスワードは総当たり攻撃（ブルートフォース）に弱いため、長さで強度を確保する
• パスフレーズの推奨：「kinou-kaigi-de-coffee-koboshita」のように、覚えやすく長い文をパスワードにする方法が有効です
• 無理な複雑さより長さ：記号を無理に混ぜた短いパスワードより、長いパスフレーズのほうが総当たりへの耐性が高くなります

2. 定期変更は原則不要

「パスワードは90日ごとに変更」というルールは、かつて広く採用されていました。しかし、NISTの現行ガイドラインでは定期変更を推奨していません。頻繁な変更を強いると「password1」→「password2」のような安易な変更パターンに陥りやすいためです。

パスワードを変更すべきタイミングは以下の場合に限定します。

• 漏洩の疑い（情報漏洩事件のニュース、不審なログインの検知など）があるとき
• 退職・異動でアクセス権が変わるとき
• 共有アカウントのメンバーが変わるとき

3. 多要素認証（MFA）を併用する

パスワードだけに頼るのではなく、多要素認証（MFA: Multi-Factor Authentication）を併用することで、認証の強度が大幅に向上します。

MFAとは、「知っているもの（パスワード）」に加えて、「持っているもの（スマートフォンの認証アプリ等）」や「本人の特徴（指紋等）」を組み合わせる認証方式です。パスワードが漏洩しても、もう1つの認証要素がなければログインできないため、被害を防止できます。

Google AuthenticatorやMicrosoft Authenticatorなどの認証アプリは無料で利用でき、導入コストはほぼかかりません。

パスワードマネージャー4製品の比較

「パスワードを長くしろ、使い回すな」と言われても、数十個のサービスを個別管理するのは現実的ではありません。パスワードマネージャーを使えば、マスターパスワード1つで全サービスを安全に管理できます。

中小企業向けに主要4製品を比較します。

選定の目安

• コスト最優先ならBitwarden：オープンソースで透明性が高く、自社サーバーにホストすれば月額費用ゼロにもできます
• 使いやすさ優先なら1Password：IT非熟練の社員が多い環境でも直感的に操作できます
• 日本語サポートが必要ならKeeper：日本法人が存在し、日本語でのサポート対応が受けられます
• LastPassは要注意：2022年の漏洩事件後に対策が取られていますが、導入する場合はセキュリティ情報を継続的に確認してください

パスワードマネージャー導入時の進め方

全社一斉導入はハードルが高いため、段階的に進めるのが現実的です。

• ステップ1：まず情シス担当者自身がツールに慣れる（1〜2週間）
• ステップ2：管理部門やIT理解度の高い部署から先行導入する（2〜4週間）
• ステップ3：マニュアルを整備し、全社展開する
• ステップ4：3ヶ月後に利用状況を確認し、使われていない部署にはフォローを行う

段階別導入ロードマップ

「何から始めればいいかわからない」という情シス担当者向けに、1ヶ月・3ヶ月・6ヶ月のロードマップを示します。

1ヶ月目：基盤整備（コストゼロでできる対策）

• パスワードポリシーを文書化し、全社に周知（12文字以上・定期変更不要・使い回し禁止）
• Google Workspace / Microsoft 365 の管理コンソールでMFAを強制有効化
• 退職者アカウントの一斉棚卸しと無効化
• 情シス担当者自身でパスワードマネージャーを試用開始

3ヶ月目：ツール導入・ポリシー定着

• パスワードマネージャーの全社導入（まず管理部門・経営層から）
• Active Directory または Google Workspace でパスワードポリシーを自動強制
• 退職時チェックリストの整備と総務部との共有
• 不審なログインアラートの設定（主要サービスの管理コンソールで設定）

6ヶ月目：高度化・定着確認

• パスワードマネージャーの利用率確認と未使用部署へのフォローアップ
• SMS認証からアプリ認証（TOTP）へのMFA格上げ
• Have I Been Pwned（haveibeenpwned.com）でメールアドレスの漏洩確認を定期実施
• 社内セキュリティ教育（フィッシング訓練・パスワード管理研修）の実施

Active Directory / Google Workspace でのポリシー設定手順

ツールとポリシーをルール化するだけでなく、システム側で強制できると管理負担が大幅に減ります。

Active Directory（Windows Server）のパスワードポリシー設定

Active Directory 環境では、グループポリシー（GPO）でパスワードルールを強制できます。

# グループポリシー管理エディターを開く
# 場所: コンピューターの構成 > ポリシー > Windowsの設定
#       > セキュリティの設定 > アカウントポリシー > パスワードのポリシー

# 推奨設定値:
# パスワードの最小文字数        : 12
# パスワードの有効期間          : 0（無期限）※漏洩時のみ変更
# パスワードの履歴を記録する    : 10（使い回し防止）
# 複雑さの要件を満たす必要がある: 有効
# 元に戻せるように暗号化してパスワードを保存する: 無効

設定後、コマンドプロンプトで以下を実行してポリシーを即時反映します。

gpupdate /force

Google Workspace のパスワードポリシー設定

Google Workspace 管理コンソール（admin.google.com）から設定します。

1. 管理コンソールにログイン
2. 「セキュリティ」→「認証」→「パスワード管理」を開く
3. 「パスワードの最小文字数」を12に設定
4. 「強力なパスワードを適用する」をオンにする
5. 「パスワードの再利用を禁止する」をオンにする

MFAの強制は「セキュリティ」→「2段階認証プロセス」から設定できます。「2段階認証プロセスの適用」を「オン（今すぐ）」にすると、全ユーザーに強制されます。

Microsoft 365 のMFA強制設定

Microsoft 365 管理センター（admin.microsoft.com）から設定します。

1. 「Azure Active Directory」→「プロパティ」→「セキュリティの既定値群の管理」を開く
2. 「セキュリティの既定値群を有効にする」をオンにする
3. 全ユーザーにMFAの設定が要求されるようになります

より細かい制御が必要な場合は、条件付きアクセスポリシー（Azure AD Premium P1以上が必要）を使用します。

退職者アカウント管理のチェックリスト

パスワード管理で見落とされがちなのが、退職者のアカウント処理です。退職者のアカウントが残っていると、本人による不正アクセスだけでなく、攻撃者が放置アカウントを悪用するリスクもあります。

• 社内システムのアカウント無効化：Active DirectoryやGoogle Workspace等のアカウントを即日停止する
• クラウドサービスのアカウント削除：SaaS（Slack、Salesforce等）の個別アカウントも漏れなく処理する
• 共有アカウントのパスワード変更：退職者が知っている共有パスワードはすべて変更する
• VPN・リモートアクセスの無効化：社外からのアクセス手段を確実に遮断する
• メールの転送設定：業務メールの引き継ぎ先を設定し、退職者アカウントからのメール転送を停止する
• 物理的な鍵・カードの回収：オフィスの入退室カードや物理鍵も忘れずに回収する

これらを「退職時チェックリスト」としてドキュメント化しておくと、担当者が変わっても漏れなく対応できます。

中小企業でも今日からできること

予算や人員が限られた中小企業でも、以下の4つは今日から着手できます。

特にMFAの有効化は、コストゼロで認証強度を飛躍的に高められる施策です。まだ設定していないサービスがあれば、最優先で対応してください。

よくある誤解と注意点

【注意】「パスワードを定期変更すれば安全」は古い常識

定期的なパスワード変更は、一見すると安全性を高めるように思えます。しかし、NISTが指摘する通り、頻繁な変更は「覚えやすい弱いパスワードへの変更」を誘発します。漏洩の兆候がない限り、無理に変更する必要はありません。

【注意】「パスワードマネージャーは危険」は誤解

「パスワードを1箇所に集めるのは危険では？」という懸念はもっともですが、信頼性の高いパスワードマネージャーはゼロナレッジ暗号化を採用しており、仮にサーバーが侵害されてもパスワードが平文で漏洩することはありません。付箋やExcelで管理するよりも格段に安全です。

【注意】「MFAを入れればパスワードは適当でいい」は間違い

MFAは強力な追加防御ですが、パスワード自体を弱くしてよい理由にはなりません。MFAを回避する攻撃手法（フィッシングでワンタイムコードを騙し取る等）も存在するため、パスワードの強度とMFAの両方を維持することが重要です。

FAQ：パスワード管理でよくある質問

Q1. 無料のパスワードマネージャーで十分ですか？

個人利用であればBitwardenの無料プランで十分です。ただし、中小企業での業務利用には管理者コンソール（利用状況の把握・退職者アクセス無効化）が必要なため、ビジネスプランの契約を推奨します。月額600〜1,200円/ユーザーは、情報漏洩時の損害（数百万円〜数千万円）と比較すると投資対効果は非常に高いです。

Q2. MFAはSMSとアプリどちらが安全ですか？

アプリ（TOTPアプリ）のほうが安全です。SMS認証はSIMスワッピング（攻撃者が通信キャリアを騙して電話番号を乗っ取る手法）によって突破される可能性があります。Google Authenticator・Microsoft Authenticator・Authyなどのアプリ認証はオフラインで動作し、スマートフォン端末を物理的に入手しない限り突破は困難です。

Q3. パスワードマネージャーのマスターパスワードを忘れたらどうなりますか？

ゼロナレッジ暗号化のパスワードマネージャーは、サービス側もパスワードを知らないため、サポートへの問い合わせでリセットはできません。一般的には以下の方法で備えます。

• 緊急アクセスキー（リカバリーコード）を印刷して金庫等に保管する
• ビジネスプランでは管理者権限で緊急アクセスが可能なケースもある
• マスターパスワードは特に覚えやすい長い文章（パスフレーズ）を設定する

Q4. Excelでパスワードを管理してはいけませんか？

Excelは暗号化が弱く、ファイル共有時の漏洩リスク・バージョン管理の複雑さ・アクセスログが残らないなどの問題があります。現在Excelで管理している場合は、パスワードマネージャーへの移行を検討してください。ただし、「Excelよりはマシ」な状態として暫定的に使い続けるなら、必ずパスワードを設定し、クラウドではなくローカルで管理してください。

Q5. 中小企業でもゼロトラストセキュリティは必要ですか？

ゼロトラストの概念（「すべてのアクセスを信頼しない」）は中小企業でも有効ですが、フルスタックの導入は不要です。現実的なアプローチは「MFAの全面導入」「最小権限の原則（必要な権限だけを付与）」「デバイス管理の基本化（端末にセキュリティソフト導入）」の3点から始めることです。

Q6. 社員のスマートフォンが壊れた場合、MFAはどうなりますか？

事前にバックアップ手段を準備しておくことが重要です。

• TOTPアプリのバックアップコードを発行・保管しておく
• Microsoft Authenticatorは端末間でのアカウント移行が可能
• Google Authenticatorは移行用QRコードで新端末に移行できる
• 管理者権限でユーザーのMFAをリセットできる設定にしておく

Q7. 外部委託先やパートナー企業のパスワード管理はどうすれば？

外部企業がアクセスする場合は、専用のゲストアカウントを発行し、最小限の権限のみ付与することが原則です。委託期間が終了したら即時削除します。パスワードを直接共有するのではなく、パスワードマネージャーの共有機能を使うことでパスワード自体を相手に見せずにアクセスを付与できます。

Q8. クラウドサービスが増えすぎてアカウント管理が追いつかない場合は？

SSOを検討するタイミングです。Google WorkspaceやMicrosoft 365はSAML/OIDCに対応しており、多くのSaaSと連携してシングルサインオンが実現できます。Okta・Azure ADなどのIDaaSを導入すると、アカウントのライフサイクル管理（入社・異動・退職時の自動処理）も可能になります。

本記事のまとめ

パスワード管理は、セキュリティ対策の基本中の基本です。しかし基本だからこそ、軽視されがちで、実際のインシデントの原因にもなりやすい領域でもあります。

中小企業の情シス担当者がまず取り組むべきは、「パスワードポリシーの明文化」「MFAの導入」「パスワードマネージャーの検討」「退職者アカウントの管理体制構築」の4つです。

Linuxサーバーのユーザー管理やSSH鍵認証の設定については、姉妹サイトLinuxMaster.JPで詳しく解説しています。AIツールを活用したセキュリティ運用の自動化はAIマスターズ.TOKYO、DXによるIT基盤改善はDXマスターズ.TOKYOもあわせてご覧ください。