「あのサービスのパスワード、なんだっけ」。そう思うたびに、メモ帳やExcelのファイルを開いて探す。新しいサービスに登録するときは、いつものパスワードに数字を一つ足して使い回す。社内で共有している大事なIDとパスワードは、ファイルサーバーの「パスワード一覧.xlsx」か、モニターの端に貼られた付箋にある——中小企業の現場では、こうした光景がごく当たり前に見られます。
パスワードの使い回しが危険という話は、どこかで耳にしたことがあると思います。それでもなかなか変えられないのは、意志が弱いからではありません。いくつも複雑なパスワードを覚えることは、そもそも人間には無理があるからです。専任の情報システム担当がいない会社であればなおさら、パスワードの管理は一人ひとりの自己流にゆだねられ、「覚えやすいパスを使い回す」「どこかにメモしておく」という形に落ち着いてしまいます。また、パスワード管理は忙しい日々のなかで、ずるずると後回しにされ続けてしまうテーマでもあります。
この記事は、その状態を「気合いで覚える」のではなく「仕組みで解決する」ためのものです。パスワードの使い回しがなぜ危ないのか、メモ帳やExcelでの管理のどこに問題があるのかを整理したうえで、覚えなくても使い回しをゼロにできる方法と、中小企業に向いたツールの選び方、そして、最近では当たり前になりつつある二段階認証まで、順を追ってご案内します。
難しい知識は必要ありません。専門のIT担当者がいない会社でも、今日から始められる形でまとめました。
パスワードの使い回しが危ないと言われる理由
「パスワードの使い回しはダメ」とよく言われますが、なぜそこまで問題視されるのでしょうか?ここでは仕組みと、中小企業にとっての現実的なリスクを短く整理します。
一つ漏れると芋づる式に破られる仕組み
各種の調査で、多くの人が複数のサービスで同じパスワードを使い回していることが分かっています。情報処理推進機構(IPA)の調査ではおよそ四〜五割、民間の調査ではさらに高い割合という報告もあります。
使い回しが危ないのは、「パスワードリスト攻撃」という手口があるからです。攻撃者は、どこかのサービスから流出したIDとパスワードの一覧を手に入れ、それを別のサービスのログイン画面に片っ端から試します。あなたが同じパスワードを他でも使っていれば、一か所の流出をきっかけに、メール・ネットバンキング・業務システムへと芋づる式に不正ログインされてしまうわけです。
近年はIDにメールアドレスを使うサービスが多いため、「メールアドレス+使い回しパスワード」の組み合わせは特に狙われやすくなっています。
「うちみたいな小さな会社は狙われない」という思い込み
「うちは小さいから狙われない」という声をよくお聞きします。ですが、攻撃者は会社の規模を見て狙っているのではなく、流出したリストと、突破しやすい穴を機械的に狙っています。中小企業庁も、利用者に対してパスワードの使い回しへの注意を繰り返し呼びかけています。
むしろ、専任の情報システム担当がいない中小企業ほど、パスワードの管理が個人任せになりがちで、穴が放置されやすいのが実情です。規模の問題ではなく、備えの有無の問題だと考えていただくと安全です。
こうしたパスワード管理の穴はランサムウェアなど、より深刻な被害の入り口になることもあります。
メモ帳・Excel・付箋でのパスワード管理がダメな理由
パスワードの使い回しと並んで多いのが、「どこに保存するか」という問題です。ここでは、ありがちな管理方法のどこに危うさがあるのかを具体的に見ていきます。
ファイルにそのまま書くことの危うさ
パソコンのデスクトップに置いた「パスワード管理.xlsx」、メモ帳にずらりと並んだID・パスワード、モニターに貼られた付箋。いずれもよく見かける光景ですが、これらは「暗号化されていない、そのまま読める状態」で書かれている点が問題です。

これらのパスワードの書かれたファイルは、パソコンを紛失したり、ウイルスに感染したり、退職者がコピーを持ち出したりすれば、そのまま中身が読まれてしまいます。ファイル共有サーバーに「パスワード一覧」を置いている場合は、アクセスできる全員が全パスワードを見られる状態です。
Excelにパスワードをかける方法もありますが、そのファイル用のパスワードをまた別途覚える必要があります。結局はパスワードを解除して開きっぱなしにする、という運用になりがちで、根本的な解決にはなりません。
ブラウザの保存機能の落とし穴
ChromeやEdgeにパスワードを入力する際に「パスワードを保存しますか?」とブラウザが確認してくるので、パスワード管理をブラウザに任せている方も多いと思います。個人利用ならそれほど問題はありませんが、業務で使うとなると問題が出てきます。
ブラウザ保存は、その端末とアカウントに強く結びついているため、退職者の端末にパスワードが残り続けたり、チームで安全に共有できなかったり、「誰がいつどのパスワードを使ったか」を会社として把握できなかったりします。
つまり、便利には見えるが「会社として統制できてない」状態です。あとで詳しく説明しますが、ブラウザ保存を狙うウイルスも存在するため、パスワードの保管場所としては専用のツールに劣ります。
Microsoft Authenticatorでパスワードを管理していた方へ
二段階認証アプリとして知られるMicrosoft Authenticatorには、以前はパスワードを保存して自動入力する機能があり、簡易的なパスワード管理ツールとして使っていた方もいると思います。
この機能は2025年に段階的に終了しました。Microsoftは、保存していたパスワードをMicrosoftアカウント経由でEdgeに引き継ぎ、今後はEdgeのパスワード管理に一本化するよう案内しています。
ですが、Edgeにパスワードを預けるというのは、先ほどお話しした「会社として統制できないブラウザ保存」に戻るということでもあります。せっかく見直すのであれば、この機会に後述する専用のパスワード管理ツールへ移行することを、当社としてはおすすめします。
なお、Authenticatorそのものは今後も二段階認証アプリとして問題なく使えますし、パスキーにも対応しています。「パスワードを保管する役割」と「本人確認を上乗せする役割」はまったく別物です。この違いは大切なので、のちほどあらためて解説します。
パスワードをどう管理すればいいのか?
危ないパスワード管理を止める、といっても、いきなり全部を完璧に直す必要はありません。考え方の順序さえ押さえれば、無理なく切り替えられます。
覚えるのをやめて、道具に覚えさせる
使い回しが起きる根っこは、とてもシンプルで「人間の記憶に頼っているから」です。覚えられる数には限りがあるので、覚えやすい一つのパスワードを、あちこちで使い回してしまうわけです。
ならば、発想を逆にしてみましょう。パスワードは「覚えない」ことを前提にして、サービスごとに違う長く複雑なパスワードをツールに自動で作らせ、記憶させ、ログイン時に入力させる。人間が覚えるのは「そのツールを開けるための一つの合言葉(マスターパスワード)」だけにします。こうすると、使い回しは意識せずとも自然に消えていきます。これを担うのが、次の章で紹介するパスワード管理ツールです。
手元のExcel管理を少しマシにする方法とその限界
「すぐにツールを入れるのは難しい」という場合の応急処置にも触れておきます。パスワードを書いたファイルは暗号化し、共有サーバーやデスクトップのような誰でも見える場所には置かず、限られた人しか触れない場所に保管してください。付箋を貼るのはやめ、退職者が出たらパスワードを変更する、といった運用も必要です。
ただし、これはあくまで応急処置です。Excelでは、誰がいつ見たかの記録は残せませんし、部署ごとに見せる範囲を分けたり、退職時にアクセスをワンクリックで止めたりといった「共有と統制」はできません。手間をかけて安全性を上げようとするほど運用が苦しくなるので、どこかで専用ツールに切り替えるのが現実的です。
パスワード管理ツールで何が解決する?
「あたらしい専用ツールを使いましょう」と言われても腰が重いのは分かります。ですが、実際に何が起きているのか分かると判断がしやすくなります。ここでは、パスワード管理ツールを悩みがどう解消されるのかという目線で見ていきます。
使い回しを見つけて直してくれる
パスワード管理ツールは、サービスごとに長く複雑なパスワードを自動生成し、暗号化して保管し、ログイン時に自動で入力してくれます。これだけでも使い回しは無くなりますが、さらに便利なのはここからです。
多くのツールには、保管しているパスワードを点検し、「弱いもの」「使い回しているもの」「すでに流出が確認されているもの」を洗い出して知らせてくれる機能があります。つまり、これまで溜め込んできた使い回しを、後からまとめて直していけるわけです。
また、パスワード管理ツールを使うと偽サイトでは自動入力が働かないため、フィッシングなどの騙しサイトに気づくヒントにもなります。
少人数の会社なら共有と退職対応もラクになる
パスワード管理ツールの法人向けのプランを使うと、部署やチーム単位の「共有の金庫(共有ボルト)」をつくり、メンバーごとに見せる範囲を分けることができます。誰がいつどのパスワードを使ったかのを記録できます。
そして中小企業でとくに効くのが退職対応です。ブラウザ保存やExcelでは、退職者が知っているパスワードを一つずつ変更して回る必要がありますが、管理ツールなら共有ボルトへのアクセスを止めるだけで、その人が中身を見られなくなります。人の出入りがあっても慌てずに済むのは、少人数の会社ほど助かります。
中小企業向けパスワード管理ツール
パスワード管理ツールはたくさん存在しますが、中小企業が「共有と統制」の目的で選ぶなら、候補はそれほど多くありません。
先に結論から述べます。迷ったら「1Password」、費用を最優先するなら「Bitwarden」、監査や証跡が重い業種ならば「Keeper」。このように選ぶのが当社のおすすめです。
| 比較の観点 | 1Password | Bitwarden | Keeper |
|---|---|---|---|
| 向いている会社 | 日本語画面で操作したい | 費用を最優先したい | 監査・証跡が重い士業・医療 |
| 共有の金庫 | ◯(分かりやすい) | ◯ | ◯ |
| 見せる範囲の権限分け | ◯ | ◯ | ◯(細かい) |
| 退職時のアクセス遮断 | ◯ | ◯ | ◯ |
| 操作ログ・監査 | ◯ | ◯ | ◎ |
| 使い回し・漏洩の検知 | ◎(Watchtower) | ◯ | ◯(BreachWatch) |
| 日本語対応 | ◯ | △(英語寄り) | ◯ |
| 料金の目安(1人あたり月額) | 法人プランあり。要問合せ。 | 法人プラン月4$~ | 小規模チーム向け月408円~ |
迷ったらこれを選べば間違いないツール
当社がまずおすすめするのは1Passwordです。日本語での使い勝手がよく、管理画面も分かりやすいため、専任の担当者がいない中小企業でも運用しやすいのが特徴です。マスターパスワードとは別の「シークレットキー」という仕組みを持ち、万一サーバーが攻撃されても中身を読まれにくい設計になっています。先ほど触れた、弱い・使い回し・流出したパスワードを洗い出すWatchtowerも備えています。
導入時に社員からの「パスワードが分からない」という問い合わせが減り、担当者の負担が下がるという声も多いツールです。1Passwordは公式サイトからも契約できますが、日本の正規代理店であるソースネクスト経由なら、為替に左右されない円建てで導入できます。
ソースネクスト1Password Businessページ:https://download.www.sourcenext.com/product/1password/biz
コストを最優先したい会社向けのツール
とにかく費用を抑えたい、あるいはオープンソースのツールを選びたい、という場合はBitwardenが候補になります。無料プランでも複数端末で使え、有料の法人プランも比較的安価です。ソースコードが公開されていて第三者の監査も受けているため、透明性の高さも評価されています。
一方で、画面表示が英語寄りで、導入初期に社員が慣れるまでのひと手間がかかる点は正直なところです。ITに強い担当者がいる、あるいはコストの優先度がとても高い、という会社に向いています。
Bitwarden公式ページ:https://bitwarden.com
監査・証跡が求められる士業・医療向けのツール
士業事務所やクリニックのように、「誰がいつアクセスしたか」の記録や、細かな権限管理、コンプライアンス上の証跡が重視される業種では、Keeperが有力です。操作ログやレポート、アラートといった管理機能が手厚く、監査に耐える運用がしやすいのが特長です。
なお、かつて広く使われていたLastPassは、過去に大きなセキュリティ事故を起こした経緯があります。現在は改善が進んでいますが、事故歴のない選択肢がある以上、新規に導入するなら他を優先するのが無難です。
Keeper公式ページ:https://www.keepersecurity.com/ja_JP
パスワード管理ツールを入れても二段階認証は必要
ここまで読んで、「管理ツールさえ入れれば、二段階認証はいらないのでは?」と考えた人もいるかもしれません。残念ですが、管理ツールだけでは足りません。パスワード管理ツールと二段階認証は、競合するものではなく、併せて使うものです。ここでは、その理由と2段階認証のやり方を整理します。
なぜ管理ツールだけでは足りないのか?
パスワードは「知っている情報」という一種類の鍵にすぎません。管理ツールでいくら強く、使い回しをなくしても、パスワードそのものが漏れる経路は残ります。たとえば、本物そっくりの偽サイトに誘導されて自分で入力してしまう、サービス側から流出する、パソコンがウイルスに感染する、といった場合です。
二段階認証は、この「パスワードが漏れても、もう一つの鍵がなければ入れない」という層を足す仕組みです。パスワード(知っているもの)に加えて、スマホや物理キー(持っているもの)などを組み合わせることで、片方が破られても侵入を防げます。管理ツールで鍵を強くし、二段階認証で入り口をもう一枚増やす、という二段構えが基本になります。
おもな二段階認証の方法
代表的な二段階認証の方法を、手軽さと安全性のバランスとともに整理します。
| やり方 | 手軽さ | 安全性 | フィッシングへの強さ | 使いどころ・注意点 |
|---|---|---|---|---|
| SMS・メールにコードを送信 | ◎ | △ | △ | 準備がいらず手軽。電話番号の乗っ取りや傍受に弱い |
| 認証アプリ(TOTP) | ◯ | ◯ | ◯ | Authenticator等。数十秒ごとのコードを入力。SMSより安全 |
| プッシュ通知で承認 | ◎ | ◯ | △ | 「許可しますか」を押すだけで便利。誤って承認させる手口に注意 |
| 物理セキュリティキー(FIDO2・YubiKey等) | △ | ◎ | ◎ | 最も強い。偽サイトでは反応しない。重要アカウント向け |
| パスキー | ◯ | ◎ | ◎ | パスワード自体を不要にする流れ。対応サービスはまだ限定的 |
以下、それぞれを補足します。
ワンタイムコード
SMSやメールでワンタイムコードを受け取る方法です。特別な準備がいらず手軽ですが、電話番号を乗っ取られる手口などに弱く、「ないよりはまし」という位置づけです。
認証アプリ(TOTP)
スマホのアプリが数十秒ごとに変わるコードを表示し、それを入力します。SMSより安全で、まさにMicrosoft AuthenticatorやGoogle Authenticatorが今担っているのがこの役割です。
プッシュ通知
アプリに届く「ログインを許可しますか?」に答えるだけで便利ですが、しつこく承認要求を送りつけて誤って押させる手口があるため、身に覚えのない通知は承認してはいけません。
物理セキュリティキー(YubiKeyなどのFIDO2対応キー)
USBなどで挿して使う小さな鍵で、偽サイトでは反応しないためフィッシングに強いのが利点です。
重要なアカウントを守りたい場合は切り札になります
さらに最近は、パスワードそのものをなくす「パスキー」への流れも広がっており、先ほどのMicrosoft Authenticatorもこの方向を後押ししています。中小企業の現場では対応サービスがまだ限られますが、今後の選択肢として頭の隅に置いておくとよいでしょう。
管理ツール本体こそ二段階認証で守る
見落とされがちですが、最も大切なのは、パスワード管理ツールのアカウント自体を二段階認証で守ることです。ここが破られると、すべての鍵が入った金庫をそのまま攻撃者に渡してしまうことになります。マスターパスワードに加えて、認証アプリや物理セキュリティキーを必ず登録しておいてください。
今日から始める安全なパスワード管理
最後に、実際の進め方を順を追って整理します。上から順番にできるところから始めてください。
はじめに、いま使っているパスワードの棚卸しをします。メモ帳・Excel・付箋・ブラウザ保存に散らばっているID・パスワードと、社内で共有しているアカウント(カード決済、SNS、各種業務システムなど)を洗い出します。使っていないサービスがあれば、この機会に解約するのも有効です。
次に、本記事で紹介したパスワード管理ツールを一つ選んで導入し、棚卸しした情報を移します。移し終えたら、ChromeやEdgeのパスワード保存機能はオフにしてください。残しておくと二重管理になり、かえって混乱します。
続いて、管理ツール本体と主要なサービスに二段階認証を設定します。そして、退職や異動が出たときにパスワードや共有ボルトのアクセスをどう止めるか、というルールを決めておきます。
まとめ
パスワードの使い回しやメモ帳・Excelでの管理の問題は、意志の弱さの問題ではなく、記憶に頼る「仕組み」の問題です。人が覚えようとするから雑になるのであって、覚える役割をツールに渡してしまえば、使い回しは自然となくなります。
まずはパスワード管理ツールを入れ、ブラウザ保存をやめ、管理ツール本体と重要サービスに二段階認証をかける。この3つを実行するだけでも、会社の守りは大きく強化されます。
どのツールにするか迷ったら、日本語で使いやすく運用が回しやすい1Passwordから始めてみてください。多くのツールに無料トライアルがあるので、まずは試してみるのがいいでしょう。



コメント