「社員のパスワードが全部同じだった」「退職者のアカウントがそのまま残っていた」――中小企業の情シス担当者なら、一度はヒヤッとした経験があるのではないでしょうか。
パスワード管理の不備は、不正アクセスや情報漏洩の直接的な原因になります。しかし、大企業のように専用のID管理システムを導入する予算がない中小企業も多いのが現実です。
この記事では、情シス1人体制の中小企業でも無理なく実践できるパスワード管理のルール作りと、具体的な運用方法を現場目線で解説します。パスワードマネージャーの製品比較・段階別導入ロードマップ・Active Directory / Google Workspace の設定手順・FAQも新たに追加しています。
パスワード管理がなぜ重要なのか
パスワードは、社内システムやクラウドサービスへの「入口の鍵」です。この鍵の管理がずさんだと、攻撃者にとっては正面玄関から堂々と入れる状態になります。
実際に、情報漏洩インシデントの原因を調査すると「認証情報の漏洩・窃取」が上位に位置するケースが多く報告されています。パスワードの使い回し、単純なパスワード、退職者アカウントの放置――こうした「ありがちなミス」が重大な事故につながります。
特に中小企業では、1つのアカウントを複数人で共有していたり、パスワードが付箋でモニターに貼られていたりする光景が珍しくありません。攻撃者はこうした弱点を知っており、ターゲットとして狙ってきます。
実際のインシデント事例:使い回しパスワードが招いた被害
抽象的な話だけでは危機感が伝わりにくいため、実際に起こりやすい被害パターンを具体的に紹介します。
事例1:クレデンシャルスタッフィング攻撃による不正アクセス
従業員30名の製造業A社では、社員の多くが業務用メールアドレスと同じパスワードを複数サービスで使い回していました。ある日、大手SNSサービスの情報漏洩事件が発生。攻撃者はその漏洩リストを使い、A社の社内VPNへのログインを自動的に試行しました。
結果、3名分のアカウントでVPNへの侵入に成功。社内の見積書・顧客情報・取引先メールが丸ごと持ち出されました。被害総額は調査費用・対応費用・顧客対応を含め200万円超に上ったと報告されています。
事例2:退職者アカウントを悪用した内部不正
IT企業B社では、営業担当者が退職後も3ヶ月間アカウントが有効なままでした。退職した元社員は自分のアカウントでCRMシステムにログインし続け、顧客情報を競合他社に持ち出していたことが発覚。民事訴訟に発展しました。
退職者アカウントの即日停止という「当たり前の手順」を怠っただけで、取り返しのつかない事態になります。
事例3:パスワード使い回しによるビジネスメール詐欺
小売業C社では、経理担当者のメールアカウントが乗っ取られました。攻撃者は数週間にわたりメールを監視し、取引先とのやり取りを把握。適切なタイミングで「振込先口座が変わりました」という偽メールを送り、約150万円の不正送金が発生しました。
アカウント乗っ取りの原因は、フィッシングで入手した別サービスと同一のパスワードでした。
危険なパスワード運用の実態
自社に当てはまるパターンがないか確認してください。
- パスワードの使い回し:複数サービスで同じパスワードを使っている。1つが漏洩すると芋づる式に被害が拡大します
- 単純なパスワード:「password123」「company2026」のような推測しやすい文字列を使用している
- 共有アカウントの常態化:部署で1つのアカウントを全員で使い回しており、誰がいつログインしたか追跡できない
- 退職者アカウントの放置:退職した社員のアカウントが有効なまま残っている
- 紙やメモへの記録:パスワードを付箋やメモ帳に書いてデスク周りに保管している
- メール・チャットでの平文共有:パスワードをそのままメールやチャットで送っている
1つでも当てはまる場合は、早急な改善が必要です。
安全なパスワードポリシーの作り方
パスワードポリシーとは、「パスワードはこう作り、こう管理する」という社内ルールのことです。NIST(米国国立標準技術研究所)のガイドライン(SP 800-63B)を参考に、中小企業向けに現実的なポリシーを整理します。
1. パスワードの長さと複雑さ
従来は「8文字以上・英数字記号の組み合わせ」が推奨されてきましたが、現在のNISTガイドラインでは、長さを重視する方向に変わっています。
- 最低12文字以上:短いパスワードは総当たり攻撃(ブルートフォース)に弱いため、長さで強度を確保する
- パスフレーズの推奨:「kinou-kaigi-de-coffee-koboshita」のように、覚えやすく長い文をパスワードにする方法が有効です
- 無理な複雑さより長さ:記号を無理に混ぜた短いパスワードより、長いパスフレーズのほうが総当たりへの耐性が高くなります
2. 定期変更は原則不要
「パスワードは90日ごとに変更」というルールは、かつて広く採用されていました。しかし、NISTの現行ガイドラインでは定期変更を推奨していません。頻繁な変更を強いると「password1」→「password2」のような安易な変更パターンに陥りやすいためです。
パスワードを変更すべきタイミングは以下の場合に限定します。
- 漏洩の疑い(情報漏洩事件のニュース、不審なログインの検知など)があるとき
- 退職・異動でアクセス権が変わるとき
- 共有アカウントのメンバーが変わるとき
3. 多要素認証(MFA)を併用する
パスワードだけに頼るのではなく、多要素認証(MFA: Multi-Factor Authentication)を併用することで、認証の強度が大幅に向上します。
MFAとは、「知っているもの(パスワード)」に加えて、「持っているもの(スマートフォンの認証アプリ等)」や「本人の特徴(指紋等)」を組み合わせる認証方式です。パスワードが漏洩しても、もう1つの認証要素がなければログインできないため、被害を防止できます。
Google AuthenticatorやMicrosoft Authenticatorなどの認証アプリは無料で利用でき、導入コストはほぼかかりません。
パスワードマネージャー4製品の比較
「パスワードを長くしろ、使い回すな」と言われても、数十個のサービスを個別管理するのは現実的ではありません。パスワードマネージャーを使えば、マスターパスワード1つで全サービスを安全に管理できます。
中小企業向けに主要4製品を比較します。
| 製品名 | 無料プラン | ビジネスプラン(月額/ユーザー) | 日本語対応 | 特徴 |
|---|---|---|---|---|
| Bitwarden | あり(個人) | 約$4(約600円) | ◎ 完全日本語UI | オープンソース。セルフホスト可能。コスト重視の中小企業に最適 |
| 1Password | なし(14日間無料トライアル) | $7.99(約1,200円) | ○ 一部日本語 | UIが洗練されており使いやすい。Travel Modeなど独自機能が充実 |
| LastPass | あり(機能制限) | $4(約600円) | ○ 主要機能は日本語 | 2022年に大規模な情報漏洩事件あり。現在は改善済みだが注意が必要 |
| Keeper | なし(30日間無料トライアル) | $4.5(約680円) | ◎ 完全日本語UI・日本法人あり | 日本企業向けサポートが手厚い。金融・医療分野でのコンプライアンス対応が強み |
選定の目安
- コスト最優先ならBitwarden:オープンソースで透明性が高く、自社サーバーにホストすれば月額費用ゼロにもできます
- 使いやすさ優先なら1Password:IT非熟練の社員が多い環境でも直感的に操作できます
- 日本語サポートが必要ならKeeper:日本法人が存在し、日本語でのサポート対応が受けられます
- LastPassは要注意:2022年の漏洩事件後に対策が取られていますが、導入する場合はセキュリティ情報を継続的に確認してください
パスワードマネージャー導入時の進め方
全社一斉導入はハードルが高いため、段階的に進めるのが現実的です。
- ステップ1:まず情シス担当者自身がツールに慣れる(1〜2週間)
- ステップ2:管理部門やIT理解度の高い部署から先行導入する(2〜4週間)
- ステップ3:マニュアルを整備し、全社展開する
- ステップ4:3ヶ月後に利用状況を確認し、使われていない部署にはフォローを行う
段階別導入ロードマップ
「何から始めればいいかわからない」という情シス担当者向けに、1ヶ月・3ヶ月・6ヶ月のロードマップを示します。
1ヶ月目:基盤整備(コストゼロでできる対策)
- パスワードポリシーを文書化し、全社に周知(12文字以上・定期変更不要・使い回し禁止)
- Google Workspace / Microsoft 365 の管理コンソールでMFAを強制有効化
- 退職者アカウントの一斉棚卸しと無効化
- 情シス担当者自身でパスワードマネージャーを試用開始
3ヶ月目:ツール導入・ポリシー定着
- パスワードマネージャーの全社導入(まず管理部門・経営層から)
- Active Directory または Google Workspace でパスワードポリシーを自動強制
- 退職時チェックリストの整備と総務部との共有
- 不審なログインアラートの設定(主要サービスの管理コンソールで設定)
6ヶ月目:高度化・定着確認
- パスワードマネージャーの利用率確認と未使用部署へのフォローアップ
- SMS認証からアプリ認証(TOTP)へのMFA格上げ
- Have I Been Pwned(haveibeenpwned.com)でメールアドレスの漏洩確認を定期実施
- 社内セキュリティ教育(フィッシング訓練・パスワード管理研修)の実施
Active Directory / Google Workspace でのポリシー設定手順
ツールとポリシーをルール化するだけでなく、システム側で強制できると管理負担が大幅に減ります。
Active Directory(Windows Server)のパスワードポリシー設定
Active Directory 環境では、グループポリシー(GPO)でパスワードルールを強制できます。
# グループポリシー管理エディターを開く
# 場所: コンピューターの構成 > ポリシー > Windowsの設定
# > セキュリティの設定 > アカウントポリシー > パスワードのポリシー
# 推奨設定値:
# パスワードの最小文字数 : 12
# パスワードの有効期間 : 0(無期限)※漏洩時のみ変更
# パスワードの履歴を記録する : 10(使い回し防止)
# 複雑さの要件を満たす必要がある: 有効
# 元に戻せるように暗号化してパスワードを保存する: 無効設定後、コマンドプロンプトで以下を実行してポリシーを即時反映します。
gpupdate /forceGoogle Workspace のパスワードポリシー設定
Google Workspace 管理コンソール(admin.google.com)から設定します。
- 管理コンソールにログイン
- 「セキュリティ」→「認証」→「パスワード管理」を開く
- 「パスワードの最小文字数」を12に設定
- 「強力なパスワードを適用する」をオンにする
- 「パスワードの再利用を禁止する」をオンにする
MFAの強制は「セキュリティ」→「2段階認証プロセス」から設定できます。「2段階認証プロセスの適用」を「オン(今すぐ)」にすると、全ユーザーに強制されます。
Microsoft 365 のMFA強制設定
Microsoft 365 管理センター(admin.microsoft.com)から設定します。
- 「Azure Active Directory」→「プロパティ」→「セキュリティの既定値群の管理」を開く
- 「セキュリティの既定値群を有効にする」をオンにする
- 全ユーザーにMFAの設定が要求されるようになります
より細かい制御が必要な場合は、条件付きアクセスポリシー(Azure AD Premium P1以上が必要)を使用します。
退職者アカウント管理のチェックリスト
パスワード管理で見落とされがちなのが、退職者のアカウント処理です。退職者のアカウントが残っていると、本人による不正アクセスだけでなく、攻撃者が放置アカウントを悪用するリスクもあります。
- 社内システムのアカウント無効化:Active DirectoryやGoogle Workspace等のアカウントを即日停止する
- クラウドサービスのアカウント削除:SaaS(Slack、Salesforce等)の個別アカウントも漏れなく処理する
- 共有アカウントのパスワード変更:退職者が知っている共有パスワードはすべて変更する
- VPN・リモートアクセスの無効化:社外からのアクセス手段を確実に遮断する
- メールの転送設定:業務メールの引き継ぎ先を設定し、退職者アカウントからのメール転送を停止する
- 物理的な鍵・カードの回収:オフィスの入退室カードや物理鍵も忘れずに回収する
これらを「退職時チェックリスト」としてドキュメント化しておくと、担当者が変わっても漏れなく対応できます。
中小企業でも今日からできること
予算や人員が限られた中小企業でも、以下の4つは今日から着手できます。
| 対策 | 内容 | コスト |
|---|---|---|
| パスワードポリシーの策定 | 12文字以上+定期変更不要のルールを明文化する | 無料 |
| MFAの有効化 | Google Workspace・Microsoft 365等の主要サービスでMFAを設定する | 無料 |
| パスワードマネージャーの試用 | まず情シス担当者1人で無料プランを試し、業務に合うか検証する | 無料〜 |
| 退職時チェックリストの作成 | アカウント無効化の手順書を作り、総務と共有する | 無料 |
特にMFAの有効化は、コストゼロで認証強度を飛躍的に高められる施策です。まだ設定していないサービスがあれば、最優先で対応してください。
よくある誤解と注意点
【注意】「パスワードを定期変更すれば安全」は古い常識
定期的なパスワード変更は、一見すると安全性を高めるように思えます。しかし、NISTが指摘する通り、頻繁な変更は「覚えやすい弱いパスワードへの変更」を誘発します。漏洩の兆候がない限り、無理に変更する必要はありません。
【注意】「パスワードマネージャーは危険」は誤解
「パスワードを1箇所に集めるのは危険では?」という懸念はもっともですが、信頼性の高いパスワードマネージャーはゼロナレッジ暗号化を採用しており、仮にサーバーが侵害されてもパスワードが平文で漏洩することはありません。付箋やExcelで管理するよりも格段に安全です。
【注意】「MFAを入れればパスワードは適当でいい」は間違い
MFAは強力な追加防御ですが、パスワード自体を弱くしてよい理由にはなりません。MFAを回避する攻撃手法(フィッシングでワンタイムコードを騙し取る等)も存在するため、パスワードの強度とMFAの両方を維持することが重要です。
FAQ:パスワード管理でよくある質問
Q1. 無料のパスワードマネージャーで十分ですか?
個人利用であればBitwardenの無料プランで十分です。ただし、中小企業での業務利用には管理者コンソール(利用状況の把握・退職者アクセス無効化)が必要なため、ビジネスプランの契約を推奨します。月額600〜1,200円/ユーザーは、情報漏洩時の損害(数百万円〜数千万円)と比較すると投資対効果は非常に高いです。
Q2. MFAはSMSとアプリどちらが安全ですか?
アプリ(TOTPアプリ)のほうが安全です。SMS認証はSIMスワッピング(攻撃者が通信キャリアを騙して電話番号を乗っ取る手法)によって突破される可能性があります。Google Authenticator・Microsoft Authenticator・Authyなどのアプリ認証はオフラインで動作し、スマートフォン端末を物理的に入手しない限り突破は困難です。
Q3. パスワードマネージャーのマスターパスワードを忘れたらどうなりますか?
ゼロナレッジ暗号化のパスワードマネージャーは、サービス側もパスワードを知らないため、サポートへの問い合わせでリセットはできません。一般的には以下の方法で備えます。
- 緊急アクセスキー(リカバリーコード)を印刷して金庫等に保管する
- ビジネスプランでは管理者権限で緊急アクセスが可能なケースもある
- マスターパスワードは特に覚えやすい長い文章(パスフレーズ)を設定する
Q4. Excelでパスワードを管理してはいけませんか?
Excelは暗号化が弱く、ファイル共有時の漏洩リスク・バージョン管理の複雑さ・アクセスログが残らないなどの問題があります。現在Excelで管理している場合は、パスワードマネージャーへの移行を検討してください。ただし、「Excelよりはマシ」な状態として暫定的に使い続けるなら、必ずパスワードを設定し、クラウドではなくローカルで管理してください。
Q5. 中小企業でもゼロトラストセキュリティは必要ですか?
ゼロトラストの概念(「すべてのアクセスを信頼しない」)は中小企業でも有効ですが、フルスタックの導入は不要です。現実的なアプローチは「MFAの全面導入」「最小権限の原則(必要な権限だけを付与)」「デバイス管理の基本化(端末にセキュリティソフト導入)」の3点から始めることです。
Q6. 社員のスマートフォンが壊れた場合、MFAはどうなりますか?
事前にバックアップ手段を準備しておくことが重要です。
- TOTPアプリのバックアップコードを発行・保管しておく
- Microsoft Authenticatorは端末間でのアカウント移行が可能
- Google Authenticatorは移行用QRコードで新端末に移行できる
- 管理者権限でユーザーのMFAをリセットできる設定にしておく
Q7. 外部委託先やパートナー企業のパスワード管理はどうすれば?
外部企業がアクセスする場合は、専用のゲストアカウントを発行し、最小限の権限のみ付与することが原則です。委託期間が終了したら即時削除します。パスワードを直接共有するのではなく、パスワードマネージャーの共有機能を使うことでパスワード自体を相手に見せずにアクセスを付与できます。
Q8. クラウドサービスが増えすぎてアカウント管理が追いつかない場合は?
SSOを検討するタイミングです。Google WorkspaceやMicrosoft 365はSAML/OIDCに対応しており、多くのSaaSと連携してシングルサインオンが実現できます。Okta・Azure ADなどのIDaaSを導入すると、アカウントのライフサイクル管理(入社・異動・退職時の自動処理)も可能になります。
本記事のまとめ
パスワード管理は、セキュリティ対策の基本中の基本です。しかし基本だからこそ、軽視されがちで、実際のインシデントの原因にもなりやすい領域でもあります。
中小企業の情シス担当者がまず取り組むべきは、「パスワードポリシーの明文化」「MFAの導入」「パスワードマネージャーの検討」「退職者アカウントの管理体制構築」の4つです。
| リスク | 対策 | 難易度 |
|---|---|---|
| パスワードの使い回し | パスワードマネージャーで個別管理 | 低(すぐできる) |
| 弱いパスワード | 12文字以上のパスフレーズ + ポリシー策定 | 低(すぐできる) |
| パスワード漏洩による不正アクセス | MFA(多要素認証)の導入 | 低(無料で可能) |
| 退職者による不正アクセス | 退職時チェックリスト + 即日アカウント停止 | 低(運用ルール整備) |
| 共有アカウントの追跡不能 | 個人アカウント化 + 監査ログの有効化 | 中(段階的に移行) |
Linuxサーバーのユーザー管理やSSH鍵認証の設定については、姉妹サイトLinuxMaster.JPで詳しく解説しています。AIツールを活用したセキュリティ運用の自動化はAIマスターズ.TOKYO、DXによるIT基盤改善はDXマスターズ.TOKYOもあわせてご覧ください。
「中小企業のセキュリティ」の記事を読む
このテーマに関連する解説記事を一覧でまとめています。あわせてご覧ください。
