セキュリティ

パスワード管理の実践ガイド|中小企業向けポリシー策定と運用手順

パスワード管理のポリシー策定と運用方法を解説。パスワードマネージャーの導入、多要素認証の必須化手順をゼロコストで始められる対策とともに紹介します。

パスワード管理認証MFAセキュリティポリシー

「パスワードを付箋に書いてモニターに貼っている」「全てのサービスで同じパスワードを使っている」「社員が退職したのにアカウントが残ったまま」——私がこれまで支援してきた中小企業の現場では、こうしたパスワード管理の問題が日常的に見られます。

パスワードは企業の情報資産を守る最初の防壁です。しかし、管理が複雑すぎると現場で守られず、かといって緩すぎると不正アクセスのリスクが高まります。本記事では、中小企業が実践できるパスワード管理のポリシー策定から運用手順まで、ゼロコストで始められる対策とともに解説します。

まずはAIセキュリティガイドラインで全体像を把握し、本記事で認証基盤の具体的な設計方法を学んでください。

パスワード管理が破綻する3つの理由

中小企業でパスワード管理が形骸化する背景には、構造的な問題があります。

理由1: 覚えられないほど複雑なパスワード要件

「12文字以上、英大小文字・数字・記号を含む、辞書にない文字列」——こうした要件を全てのサービスで守ろうとすると、人間の記憶力では限界があります。

現実に起こること:

  • 付箋に書いてデスクに貼る
  • Excelファイルに一覧をまとめて保存(暗号化なし)
  • ブラウザの自動保存機能に頼る(端末紛失時に流出)
  • 結局同じパスワードを使い回す

結果として、厳格なルールが逆にセキュリティを下げる事態になります。

理由2: システムごとにバラバラなパスワードポリシー

営業支援システムは「8文字以上」、給与システムは「10文字以上で3か月ごとに変更必須」、クラウドストレージは「記号必須」——このように要件がバラバラだと、従業員は混乱します。

実際の問い合わせ例:

  • 「このシステムのパスワード要件を教えてください」
  • 「パスワード変更を忘れてアカウントがロックされました」
  • 「新しいパスワードが思いつきません」

IT担当者の工数が逼迫し、本来の業務に支障が出ます。

理由3: 退職者・異動者のアカウント削除が漏れる

退職時のチェックリストに「アカウント削除」が含まれていても、実際には以下の問題が起こります。

よくある漏れパターン:

  • 退職日当日に削除を忘れ、数か月後に発覚
  • 外部サービスのアカウントは削除されず放置
  • 異動者の権限変更が漏れ、不要なアクセス権限が残る
  • 共有アカウントを使っていたため、誰が使っているか不明

ある卸売業(従業員40名)では、退職者のアカウントが1年間放置され、元社員が個人的にログインして顧客情報を閲覧していた事例もありました。

実際に起きたパスワード関連インシデント事例

ここでは、私が支援先で遭遇した、または耳にした実際のインシデント事例を紹介します(社名・詳細は匿名化)。

事例1: パスワード使い回しによる連鎖的アカウント乗っ取り

企業プロフィール: IT企業50名、営業担当者が個人メールと同じパスワードを使用

インシデント内容:

  • 営業担当者が、個人のGmailアカウントと社内システムで同じパスワードを使用
  • 個人Gmail(パスワード: Tanaka2024!)がフィッシング攻撃で漏洩
  • 攻撃者が漏洩パスワードで社内システムへのログインを試行し、成功
  • 社内の顧客管理システムにアクセスされ、顧客リスト(300件)が流出

発覚経緯: 取引先から「貴社の営業担当を装った不審なメールが届いた」と連絡

影響:

  • 顧客への謝罪と状況説明(全300社)
  • セキュリティ監査の実施と報告書作成
  • 信頼低下による取引停止(2社)
  • 対応工数: 約150時間(経営層・営業・IT部門)

損害額: 約200万円(顧客対応、監査費用、売上減少)

事例2: 付箋に書かれたパスワードから社内情報流出

企業プロフィール: 製造業80名、経理担当者がパスワードを付箋に記載

インシデント内容:

  • 経理担当者が、銀行振込システムのパスワードを付箋に書いてモニターに貼付
  • 夜間清掃スタッフがその付箋を写真撮影
  • 清掃スタッフが外部の人間にパスワードを売却
  • 不正アクセスで振込先情報が改ざんされ、取引先への支払いが第三者の口座へ送金される寸前だった

発覚経緯: 銀行の不正検知システムが異常な振込を検知し、実行前にブロック

影響:

  • 清掃業者の変更と社内セキュリティルールの見直し
  • 全従業員へのセキュリティ研修実施
  • 二要素認証の緊急導入

損害額: 約100万円(システム改修、研修費、業者変更費)

防げたはずのポイント: パスワードマネージャーと二要素認証があれば防止可能でした。

事例3: 退職者アカウントの放置による情報持ち出し

企業プロフィール: サービス業60名、IT担当者が退職時のアカウント削除を失念

インシデント内容:

  • 退職した営業担当者のアカウントが削除されず、5か月間アクセス可能な状態が継続
  • 退職者が転職先で使うために、過去の営業資料や顧客提案書を自宅からダウンロード
  • 転職先の競合他社で、元勤務先の提案書がそのまま使われる

発覚経緯: 取引先の担当者が「御社の提案書と競合A社の提案書が酷似している」と指摘

影響:

  • 退職者および転職先企業への法的措置(損害賠償請求)
  • 全てのアカウントの棚卸しと削除作業
  • 退職フローの見直しとチェックリスト整備

損害額: 約150万円(法務費用、対応工数、信頼低下)

事例4: 共有アカウントの悪用

企業プロフィール: 小売業40名、マーケティング部門で1つのアカウントを共有

インシデント内容:

  • マーケティング部の5名が、SNS投稿用の共有アカウント(パスワード: Marketing123)を使用
  • 部門の1名が不満を持ち、退職後に共有パスワードを使って不適切な投稿を実施
  • 企業の公式SNSで誹謗中傷や虚偽情報が拡散される

発覚経緯: フォロワーからの通報で発覚

影響:

  • 公式SNSの一時停止と謝罪文の発表
  • 退職者の特定と法的対応
  • 全ての共有アカウントの廃止と個人アカウント化
  • ブランドイメージの低下

損害額: 約80万円(対応工数、信頼回復キャンペーン費)

防げたはずのポイント: 個人アカウント制と退職時のアクセス権限即時削除があれば防止可能でした。

パスワード管理ポリシーの策定手順

ポリシーを作る前に、現状を把握することが重要です。

Step 1: 現状調査(1週間)

調査項目:

  1. 全従業員が利用している業務システムのリストアップ

    • クラウドサービス(SaaS)
    • 社内システム(オンプレミス)
    • 外部連携サービス(API、VPN等)

  2. 各システムのパスワードポリシーを確認

    • 最小文字数、文字種要件
    • パスワード変更頻度
    • 過去のパスワード再利用制限

  3. 従業員へのアンケート実施

    • 「パスワードをどのように管理していますか?」
    • 「パスワードを忘れた時の対応は?」
    • 「現在のパスワードポリシーで困っていることは?」

アンケート結果例(ある企業の実例):

  • パスワードを紙に書いている: 38%
  • Excelファイルで管理: 22%
  • ブラウザの自動保存のみ: 30%
  • パスワードマネージャー使用: 10%

この結果から、現実的に導入可能な対策を検討します。

Step 2: ポリシーの基本方針を決定(1週間)

5つの基本方針:

1. パスワード要件の統一化

  • 全社で共通のパスワード基準を設定
  • システムごとの要件差を可能な限り減らす

推奨要件:

  • 最小12文字以上(NIST推奨基準)
  • 英大小文字・数字を含む(記号は推奨だが必須にしない)
  • 辞書に載っている単語の禁止
  • 過去3世代のパスワード再利用禁止

2. パスワード変更頻度の見直し

  • 従来の「90日ごとに変更必須」ルールは、実は逆効果
  • NISTの最新ガイドラインでは「定期変更は不要、漏洩時のみ変更」を推奨
  • 理由: 頻繁な変更は、簡単なパスワードや使い回しを招く

推奨方針:

  • 定期変更は不要(ただし年1回の見直しを推奨)
  • パスワード漏洩が疑われる場合は即座に変更
  • 多要素認証(MFA)と併用

3. パスワードマネージャーの導入

  • 個々の従業員に記憶を頼るのではなく、ツールで管理
  • 企業向けプランで一元管理と監査ログを確保

4. 多要素認証(MFA)の段階的導入

  • パスワードだけでなく、追加の認証要素を必須化
  • 第1段階: メール・クラウドストレージ
  • 第2段階: 業務システム全般
  • 第3段階: VPN・管理画面

5. 退職・異動時のアクセス権限管理

  • 退職日当日に全てのアカウントを停止
  • 異動時に権限を見直し、不要なアクセスを削除
  • 四半期ごとに全アカウントの棚卸し

Step 3: ポリシー文書の作成(1週間)

ポリシー文書に含めるべき項目:

# パスワード管理ポリシー

## 1. 目的
従業員の認証情報を適切に管理し、不正アクセスを防止する。

## 2. 適用範囲
全従業員、業務委託者、派遣社員

## 3. パスワード要件
- 最小12文字以上
- 英大小文字・数字を含む
- 辞書にある単語の禁止
- 過去3世代の再利用禁止

## 4. パスワード管理方法
- パスワードマネージャーの使用を必須とする
- パスワードの紙への記載を禁止する
- 他人とのパスワード共有を禁止する

## 5. パスワード変更
- 定期変更は不要(年1回の見直しを推奨)
- 漏洩の疑いがある場合は即座に変更
- システムから変更要求があった場合は速やかに対応

## 6. 多要素認証(MFA)
- メール・クラウドストレージは必須
- 業務システムは順次導入

## 7. アカウント管理
- 退職日にアカウント停止
- 異動時に権限見直し
- 四半期ごとに棚卸し

## 8. 違反時の対応
- 初回: 注意と再教育
- 繰り返し: 懲戒処分の対象

## 9. 問い合わせ先
情報システム部門(内線: XXX、メール: security@example.com)

Step 4: 全社展開とトレーニング(1か月)

展開手順:

  1. 経営層への説明と承認(1週間)
  2. 部門長への説明会(1週間)
  3. 全従業員向け説明会(60分)
  4. パスワードマネージャーのハンズオン研修(30分)
  5. 質問窓口の開設(Slackチャンネル、メール)

トレーニング内容:

  • なぜパスワード管理が重要か(インシデント事例の紹介)
  • 新しいポリシーの内容と背景
  • パスワードマネージャーの使い方(実習)
  • 多要素認証の設定方法(実習)
  • よくある質問(FAQ)

パスワードマネージャーの選定と導入

パスワードマネージャーは、従業員の負担を減らしながらセキュリティを高める最も効果的なツールです。

主要サービスの比較

サービス名料金(1人/月)特徴推奨度
1Password Business$7.99使いやすさトップクラス、日本語対応⭐⭐⭐⭐⭐
Bitwarden$3.00オープンソース、低価格⭐⭐⭐⭐
LastPass Business$7.00老舗、機能豊富⭐⭐⭐⭐
Dashlane Business$8.00VPN機能付き⭐⭐⭐
Keeper Business$4.17コスパ重視⭐⭐⭐

選定基準:

  • 法人向けプラン(管理者権限、監査ログ)
  • 二要素認証対応
  • 主要ブラウザ(Chrome、Safari、Edge)対応
  • モバイルアプリ(iOS、Android)対応
  • 日本語サポート

推奨: 1Password Business

私が多くの企業に推奨しているのは 1Password Business です。

選ぶ理由:

  • 直感的なUI: 非IT部門でも迷わず使える
  • 日本語サポート: 問い合わせ対応が日本語で可能
  • 管理機能: 管理者が全従業員のアカウント状況を一元管理
  • セキュリティ: AES-256ビット暗号化、ゼロ知識アーキテクチャ
  • 共有機能: チーム内でパスワードを安全に共有(営業部で共有するSNSアカウント等)

コスト例(50名企業):

  • 月額: $7.99 × 50名 = $399.50(約6万円)
  • 年額: 約72万円

導入効果:

  • パスワードリセット問い合わせ: 月20件 → 月2件に減少
  • IT担当者の工数削減: 月10時間 → 月1時間
  • セキュリティインシデント: 年3件 → 年0件

費用対効果:

  • IT担当者の工数削減: 月9時間 × 時給3,000円 × 12か月 = 32.4万円/年
  • インシデント対応費用削減: 約150万円/年(年3件 × 平均50万円)
  • 合計効果: 約182万円/年
  • ROI: (182万円 - 72万円) / 72万円 × 100 = 153%

ゼロコストで始めるパスワード管理(予算がない場合)

予算確保が難しい場合は、まず無料ツールで小規模に始めることも可能です。

無料プランの選択肢:

1. Bitwarden(無料プラン)

  • 個人利用は完全無料
  • ブラウザ拡張機能、モバイルアプリ対応
  • 基本的なパスワード管理機能は十分

導入手順:

  1. 全従業員に個人アカウント登録を依頼
  2. 簡単な使い方ガイドを配布
  3. 3か月試用後、有料プランへ移行を検討

制限事項:

  • 管理者による一元管理ができない
  • 監査ログがない
  • サポートが限定的

2. ブラウザ内蔵のパスワード管理機能

  • Chrome、Safari、Edgeの標準機能
  • 追加コストゼロ

推奨設定:

  • ブラウザのマスターパスワードを設定
  • 同期機能を有効化(Google、Apple、Microsoft)

制約:

  • ブラウザ外のアプリには使えない
  • 企業全体での管理ができない
  • 監査ログなし

導入手順(1Password Businessの場合)

Week 1: アカウント設定

  1. 1Passwordの法人アカウント登録
  2. 管理者(IT担当者)のアカウント設定
  3. 部門ごとにグループ作成(営業部、開発部、経理部等)

Week 2: パイロット導入 4. IT部門(5名程度)で試験運用 5. 使い勝手と問題点を確認 6. 手順書・FAQ作成

Week 3: 全社展開準備 7. 全従業員分のアカウント作成 8. 招待メール送信(1Password登録手順を含む) 9. 説明会・研修の実施(60分)

Week 4: 本番運用開始 10. 全従業員がパスワードマネージャーを使い始める 11. 既存のパスワードを1Passwordへ移行 12. 問い合わせ対応(Slackチャンネルで随時対応)

Month 2〜: 定着化 13. 週1回、利用状況を確認(未登録者へのリマインド) 14. 月1回、管理者が監査ログを確認 15. 四半期ごとに利用率と効果を測定

多要素認証(MFA)の段階的導入

パスワードだけでは不十分です。多要素認証(MFA)を組み合わせることで、セキュリティレベルが飛躍的に向上します。

多要素認証とは

認証の3要素:

  1. 知識要素: パスワード、PIN(Something you know)
  2. 所持要素: スマートフォン、ハードウェアトークン(Something you have)
  3. 生体要素: 指紋、顔認証(Something you are)

多要素認証(MFA)は、これらの要素のうち2つ以上を組み合わせる認証方式です。

:

  • パスワード(知識要素) + SMS認証コード(所持要素)
  • パスワード(知識要素) + 指紋認証(生体要素)

MFA導入の優先順位

全てのシステムに一度にMFAを導入するのは現実的ではありません。優先順位をつけて段階的に導入します。

Phase 1(最優先、1か月目): メール・クラウドストレージ

  • Google Workspace、Microsoft 365、Slack
  • 理由: ビジネスの中核、ここが突破されると全てが危ない

Phase 2(2〜3か月目): 業務システム

  • 顧客管理システム、会計システム、人事システム
  • 理由: 機密情報を扱うシステム

Phase 3(4〜6か月目): VPN・管理画面

  • VPN接続、サーバー管理画面、AWS/GCP/Azureの管理コンソール
  • 理由: インフラへのアクセス権限

Phase 4(7か月目〜): その他のサービス

  • 営業支援ツール、プロジェクト管理ツール等
  • 理由: 優先度は低いが、可能な限り全てに適用

MFAの実装方法

方法1: SMS認証(最も手軽)

  • 登録した電話番号にSMSで認証コードを送信
  • メリット: 導入が簡単、ユーザーの追加負担が少ない
  • デメリット: SIMスワップ攻撃に脆弱、海外では使えない場合がある

方法2: 認証アプリ(推奨)

  • Google Authenticator、Microsoft Authenticator、Authyなどのアプリを使用
  • メリット: オフラインでも使える、SMS攻撃に強い
  • デメリット: アプリのインストールが必要

方法3: ハードウェアトークン(最も安全)

  • YubiKey等の物理デバイスを使用
  • メリット: 最も安全、フィッシング攻撃に強い
  • デメリット: デバイス購入費用(1個5,000円〜)、紛失リスク

推奨:

  • 一般従業員: 認証アプリ(Google Authenticator)
  • 管理者・経営層: ハードウェアトークン(YubiKey)

Google Workspace でのMFA設定手順

管理者側の設定:

  1. Google Admin コンソールにログイン
  2. 「セキュリティ」→「認証」→「2段階認証プロセス」
  3. 「2段階認証プロセスの適用」を有効化
  4. 猶予期間を設定(例: 2週間後から必須)
  5. 「保存」

従業員側の設定:

  1. Google アカウントのセキュリティ設定にアクセス
  2. 「2段階認証プロセス」を選択
  3. 電話番号を登録(SMS受信用)
  4. 認証アプリ(Google Authenticator)をスマホにインストール
  5. QRコードをスキャンして登録
  6. バックアップコードを保存(紙に印刷して保管)

トラブル対応:

  • スマホを紛失した場合: バックアップコードでログイン
  • バックアップコードも紛失: 管理者がアカウントをリセット

Microsoft 365 でのMFA設定手順

管理者側の設定:

  1. Microsoft 365 管理センターにログイン
  2. 「ユーザー」→「アクティブなユーザー」→「多要素認証」
  3. 対象ユーザーを選択し、「有効にする」
  4. 全ユーザーに対して一括有効化も可能

従業員側の設定:

  1. 次回ログイン時に追加のセキュリティ情報を求められる
  2. 電話番号を登録(SMS受信用)
  3. Microsoft Authenticator アプリをインストール
  4. アプリでQRコードをスキャン
  5. テストログインで動作確認

退職・異動時のアクセス権限管理

パスワード管理で最も見落とされがちなのが、退職者・異動者のアカウント管理です。

退職時のチェックリスト

退職者のアクセス権限を確実に削除するため、チェックリストを整備します。

退職日の1週間前:

  • 人事部からIT部門へ退職者リストを共有
  • IT部門が削除対象アカウントをリストアップ
  • 引き継ぎ資料の作成(パスワードが必要なシステム一覧)

退職日当日:

  • 全てのアカウントを停止(削除前にまず停止)
  • 物理的なセキュリティカード、社用PCの回収
  • VPN接続の無効化
  • メールの自動転送設定(必要に応じて)

退職日の1週間後:

  • アカウントの完全削除
  • 共有フォルダのアクセス権限削除
  • 外部サービス(SaaS)のアカウント削除
  • クラウドストレージのデータ移管

削除対象システムの例:

  • Google Workspace / Microsoft 365
  • Slack / Teams
  • GitHub / GitLab
  • AWS / GCP / Azure
  • 業務システム(顧客管理、会計、人事等)
  • VPN / リモートデスクトップ
  • 社内Wi-Fi(MACアドレス削除)

異動時のアクセス権限見直し

異動時は、削除ではなく権限の調整が必要です。

異動時のチェック項目:

  • 異動前の部署のアクセス権限を削除
  • 異動後の部署の必要な権限を付与
  • 不要な管理者権限を削除
  • 共有フォルダのアクセス権限を見直し

:

  • 営業部 → 経理部へ異動
    • 削除: 営業管理システム、顧客管理システム
    • 付与: 会計システム、経費精算システム
    • 継続: メール、Slack、共通ファイルサーバー

四半期ごとのアカウント棚卸し

定期的に全アカウントを棚卸しし、不要なアカウントを削除します。

棚卸し手順:

  1. 全てのアカウント一覧を出力(システムごとに)
  2. 人事部の在籍者リストと照合
  3. 3か月以上未使用のアカウントを特定
  4. 部門長に確認し、不要なアカウントを削除

棚卸し結果の記録:

  • 対象アカウント数
  • 削除したアカウント数
  • 権限変更したアカウント数
  • 発見した問題点(退職者アカウントの放置等)

実例: ある製造業(80名)で四半期棚卸しを実施した結果、退職者アカウント3件、長期未使用アカウント7件を発見し、即座に削除しました。

共有アカウントの廃止と代替案

共有アカウントは管理が困難で、セキュリティリスクが高いため、原則廃止します。

共有アカウントの問題点

リスク:

  • 誰が何をしたか追跡できない(監査ログが無意味)
  • 退職者がパスワードを知っている可能性
  • パスワード変更時に全員への周知が必要
  • 責任の所在が不明確

よくある共有アカウントの例:

  • SNS投稿用アカウント
  • 営業部の共有メールアドレス(info@、sales@)
  • 監視カメラのログイン
  • 経費精算システムの承認者アカウント

代替案: 個人アカウント化と権限管理

代替方法1: 個人アカウント + チーム機能

  • SNS投稿: Facebook Business Manager、Twitter Business等のチーム機能を使用
  • 各自が個人アカウントでログインし、企業ページの投稿権限を付与

代替方法2: メールエイリアス

  • 共有メールアドレス(info@、sales@)は、メールエイリアスとして設定
  • 複数の個人メールアドレスに転送
  • 送信時は個人アカウントから送信(Fromアドレスを共有アドレスに設定)

代替方法3: パスワードマネージャーの共有機能

  • どうしても共有が必要な場合、1Passwordの「共有Vault」機能を使用
  • 誰がいつアクセスしたか監査ログに記録
  • 退職時に即座にアクセスを削除

パスワード管理の運用KPI

ポリシーを策定しただけでは不十分で、継続的に効果を測定します。

測定すべき指標

1. パスワードマネージャー利用率

  • 目標: 95%以上
  • 測定方法: 管理画面で登録ユーザー数を確認
  • 改善策: 未登録者へのリマインド、個別サポート

2. MFA有効化率

  • 目標: 100%(必須化)
  • 測定方法: Google Admin / Microsoft 365 管理画面で確認
  • 改善策: 未設定者への催促、設定手順の個別案内

3. パスワードリセット依頼件数

  • 目標: 前年比50%減
  • 測定方法: IT部門への問い合わせ件数を記録
  • 改善策: パスワードマネージャー利用促進

4. アカウント棚卸しでの発見件数

  • 目標: 四半期ごとに減少
  • 測定方法: 棚卸し時の削除アカウント数
  • 改善策: 退職フローの徹底、自動化

5. セキュリティインシデント件数(パスワード関連)

  • 目標: 0件
  • 測定方法: インシデント報告記録
  • 改善策: 継続的な教育、ポリシー見直し

月次レポートの作成

経営層への報告と現場の改善に活用するため、月次レポートを作成します。

レポート内容:

# パスワード管理 月次レポート(2026年3月)

## 1. 主要指標
- パスワードマネージャー利用率: 92%(前月比 +3%)
- MFA有効化率: 98%(前月比 +2%)
- パスワードリセット依頼: 3件(前月比 -5件)
- アカウント棚卸し: 実施なし(四半期ごと)
- セキュリティインシデント: 0件

## 2. 実施事項
- 新入社員3名へのアカウント発行と研修実施
- パスワードマネージャー未登録者へのリマインド送信

## 3. 課題
- 営業部の一部メンバーがMFA設定を未完了
- 外部SaaSの棚卸しが不十分

## 4. 次月の予定
- 営業部へのMFA設定個別サポート
- 外部SaaSアカウントの一覧化

## 5. 備考
特になし

ゼロコストから始めるロードマップ

予算がない場合でも、段階的に対策を進められます。

Phase 1: ゼロコスト対策(1か月目)

実施内容:

  • パスワードポリシーの策定と周知(1ページ版を配布)
  • ブラウザ内蔵のパスワード管理機能の利用促進
  • Google Workspace / Microsoft 365 の標準MFAを有効化
  • 退職者アカウント削除チェックリストの整備

コスト: 0円(内部工数のみ)

効果:

  • パスワード付箋の削減
  • 退職者アカウント放置の防止
  • MFAによる不正アクセス防止

Phase 2: 低コスト対策(2〜3か月目)

実施内容:

  • Bitwarden 無料プランの試験導入(IT部門5名)
  • SMS認証の全社展開
  • 共有アカウントの洗い出しと削減計画策定

コスト: 月1万円程度(SMS送信費用)

効果:

  • パスワード管理の一元化(試験運用)
  • MFA普及率の向上

Phase 3: 本格導入(4〜6か月目)

実施内容:

  • 1Password Business 導入(全従業員)
  • 認証アプリ(Google Authenticator)への移行
  • 共有アカウントの完全廃止
  • 四半期アカウント棚卸しの定例化

コスト: 月6万円(50名想定、1人あたり約1,200円)

効果:

  • 企業全体のパスワード管理水準が大幅向上
  • セキュリティインシデントの大幅削減
  • IT部門の問い合わせ対応工数削減

Phase 4: 継続改善(7か月目〜)

実施内容:

  • 経営層・管理職へのハードウェアトークン(YubiKey)配布
  • 監査ログの定期レビュー
  • 新入社員への自動オンボーディング
  • 年次のポリシー見直し

コスト: 月6万円 + 初期費用3万円(YubiKey 10個)

効果:

  • 最高レベルのセキュリティ達成
  • 運用の完全定着

よくある質問(FAQ)

Q1: パスワードマネージャーが壊れたら全てのパスワードにアクセスできなくなりませんか?

A: パスワードマネージャーは複数の対策で可用性を担保しています。

  • データは暗号化されてクラウドに保存されるため、端末が壊れても他の端末からアクセス可能
  • 緊急アクセスコード(Emergency Kit)を印刷して保管しておけば復旧可能
  • 企業プランでは管理者が従業員のアカウントを復旧可能

推奨対策:

  • マスターパスワードを紙に書いて金庫に保管(バックアップ用)
  • 緊急アクセスコードを印刷して施錠できる場所に保管

Q2: パスワードマネージャー自体がハッキングされたらどうなりますか?

A: 主要なパスワードマネージャーは「ゼロ知識アーキテクチャ」を採用しています。

  • サービス提供者でもユーザーのパスワードは見られない
  • データは暗号化されて保存され、復号化はユーザーの端末でのみ実行
  • 仮にサーバーがハッキングされても、暗号化されたデータしか取得できない

過去の事例:

  • LastPassは2022年にデータ漏洩事件がありましたが、暗号化されたデータのみが漏洩し、マスターパスワードが強固であればパスワードは解読不可能でした。

Q3: 高齢の従業員がパスワードマネージャーを使いこなせるか心配です。

A: 実際に多くの企業で60代の従業員も問題なく使用しています。

成功のポイント:

  • 個別の丁寧なトレーニング(30分のハンズオン)
  • 簡単な操作マニュアル(スクリーンショット付き)
  • 専用の問い合わせ窓口設置

実例: ある製造業(従業員80名、平均年齢52歳)では、1Password導入時に全員が1時間の個別研修を受け、3か月後の利用率は94%に達しました。

Q4: MFAを導入すると、毎回コードを入力するのが面倒では?

A: 最近のMFAは「信頼できるデバイス」機能があり、毎回の入力は不要です。

  • 初回ログイン時に「このデバイスを信頼する」を選択
  • 以降、同じ端末からは通常のパスワードのみでログイン可能
  • 新しい端末や異なる場所からのログイン時のみMFAが求められる

推奨設定:

  • 社用PC: 信頼できるデバイスとして登録
  • 個人スマホ: MFA必須
  • 自宅PC: MFA必須

まとめ: 今日から始める3ステップ

パスワード管理の改善は、大掛かりなプロジェクトではなく、小さな一歩から始められます。

Step 1: 現状を把握する(1週間)

  • 全従業員にアンケートを実施(「現在のパスワード管理方法は?」)
  • 退職者アカウントの棚卸し(過去1年分)
  • パスワード関連の問い合わせ件数を集計

Step 2: 小さく始める(1か月目)

  • パスワードポリシー1ページ版を作成・配布
  • Google Workspace / Microsoft 365 のMFAを有効化
  • 退職者アカウント削除チェックリストを整備

Step 3: 段階的に拡大する(3か月〜)

  • パスワードマネージャーの試験導入(IT部門のみ)
  • 全社展開と研修実施
  • 四半期ごとのアカウント棚卸しを定例化

パスワード管理は、セキュリティの最も基本的で最も重要な要素です。まずは小さな一歩から始め、継続的に改善していくことで、企業全体のセキュリティレベルを大きく向上させられます。

関連記事