「社員のパスワードが『password123』のまま放置されている」「退職した社員のアカウントがまだ有効になっている」。中小企業の経営者や総務担当者なら、一度は冷や汗をかいた経験があるのではないでしょうか。
IPA(独立行政法人 情報処理推進機構)の調査によると、不正アクセスの原因の約50%がパスワードの使い回しや推測されやすいパスワードの利用です。しかも被害を受けた企業の多くは「うちは狙われないだろう」と考えていた中小企業でした。
この記事では、従業員10〜100名規模の中小企業がパスワード管理を見直し、情報漏えいリスクを大幅に下げるための実践手順を、導入コストと使える補助金の情報とともに解説します。
パスワード管理とは?なぜ中小企業で問題になるのか
パスワード管理とは、業務で使うサービスのログイン情報(ID・パスワード)を安全に作成・保管・運用する仕組みのことです。
大企業では情報システム部門が専用ツールを導入し、全社的にパスワードポリシーを管理しています。一方、中小企業では「各自に任せている」というケースがほとんどです。この「各自任せ」が、以下のようなリスクを生んでいます。
・パスワードの使い回し: 業務で使うクラウドサービスが10〜20個に増え、全部を覚えきれずに同じパスワードを使い回す。1つのサービスから漏れた時点で全サービスが危険にさらされます。
・メモ書きの放置: パスワードを付箋に書いてモニターに貼る、Excelファイルにまとめてデスクトップに保存する。退職者や来客の目に触れるリスクがあります。
・退職者アカウントの放置: 退職した社員のアカウントが有効なまま残っていると、不正アクセスの入り口になります。実際に元従業員が退職後にアクセスしてデータを持ち出した事例が報告されています。
・共有パスワードの常態化: 部署で1つのアカウントを全員で共有し、パスワードが口頭で伝えられる。誰がいつログインしたか追跡できず、問題発生時の原因特定が困難です。
| リスク | 発生しやすい場面 | 想定される被害額 |
|---|---|---|
| パスワードの使い回し | クラウドサービスの増加 | 100〜500万円(情報漏えい対応) |
| メモ書きの放置 | オフィス内・テレワーク | 50〜200万円(不正アクセス) |
| 退職者アカウントの放置 | 人事異動・退職時 | 100〜300万円(データ持ち出し) |
| 共有パスワードの常態化 | 部署共通アカウント | 原因特定不能で被害拡大 |
パスワード管理を見直すメリット — コスト削減と信頼獲得
パスワード管理の改善は「面倒な作業が増える」と思われがちですが、むしろ日常業務が楽になるケースがほとんどです。
・ログインの手間が月5時間以上減る: パスワード管理ツールを導入すると、業務で使う10〜20のサービスに自動ログインできるようになります。従業員30名の企業で、1人あたり1日10分のログイン時間が削減されると仮定すると、月間約75時間の業務時間を取り戻せます。
・パスワードリセット対応が月2時間以下に: 「パスワードを忘れた」という問い合わせは、中小企業のIT担当者が対応する業務の中でも上位に入ります。管理ツールの導入で「忘れる」こと自体がなくなり、リセット対応の工数がほぼゼロになります。
・取引先の信頼性審査をクリアしやすくなる: 大企業との取引では「パスワードポリシーはありますか」「多要素認証を導入していますか」といったセキュリティチェックを求められる場面が増えています。対策が整っていれば、新規取引の獲得につながります。
・情報漏えい時の賠償リスクを軽減: 個人情報保護委員会のガイドラインでは、情報漏えいの発生時に「適切な安全管理措置を講じていたか」が問われます。パスワード管理の仕組みが整備されていることは、過失がなかったことの有力な証拠になります。
具体的な進め方 — 4つのステップ
1. 自社のパスワード管理の現状を把握する
まずは現状の棚卸しです。以下の3点を確認してください。1〜2日あれば完了します。
・利用中のクラウドサービスの洗い出し: 会計ソフト、勤怠管理、メール、ファイル共有、CRM、SNSアカウントなど、業務で使うサービスを一覧にします。従業員30名の企業では平均して15〜25のサービスを利用しています。
・パスワードの管理方法の確認: 各従業員がどのようにパスワードを管理しているかアンケートを取ります。「頭で覚えている」「メモに書いている」「ブラウザに保存している」など、実態を把握しましょう。
・退職者アカウントの確認: 過去1年間の退職者について、各サービスのアカウントが無効化されているか確認します。1件でも有効なまま残っていたら、すぐに無効化してください。
2. パスワードポリシーを策定して全社に周知する
パスワードの作り方と管理方法のルールを明文化します。難しく考える必要はなく、A4用紙1枚にまとまる内容で十分です。
盛り込むべきルールは以下のとおりです。
・パスワードの長さ: 最低12文字以上。英大文字・英小文字・数字・記号を組み合わせる。短くて複雑なパスワードよりも、長くて覚えやすいパスフレーズ(例:「朝のコーヒーは3杯まで!」のようなフレーズをローマ字化)が推奨されます。
・使い回し禁止: サービスごとに異なるパスワードを設定する。「覚えきれない」という問題は、次のステップで導入するパスワード管理ツールで解決します。
・定期変更は不要: 総務省の「国民のためのサイバーセキュリティサイト」でも、パスワードの定期変更は推奨されていません。定期変更を義務付けると、逆にパターン化した弱いパスワードが使われるリスクがあります。漏えいの疑いがある場合にのみ変更します。
・共有アカウントの原則禁止: 1人1アカウントを原則とし、どうしても共有が必要な場合はパスワード管理ツールの共有機能を使って履歴を残します。
ポリシーは全従業員に書面で配布し、入社時のオリエンテーションにも組み込みましょう。テンプレートはIPA(独立行政法人 情報処理推進機構)の「中小企業の情報セキュリティ対策ガイドライン」の付録に掲載されています。
3. パスワード管理ツールを導入する
「サービスごとに異なる長いパスワードを使え」と言われても、人間の記憶力には限界があります。パスワード管理ツール(パスワードマネージャー)を導入すれば、この問題を解決できます。
パスワード管理ツールとは、すべてのパスワードを暗号化して1つの「金庫」に保管するソフトウェアです。従業員は「マスターパスワード」1つだけを覚えておけば、登録したすべてのサービスに自動でログインできます。
中小企業に適した主要なツールを比較します。
| ツール | 月額(税込・1ユーザー) | 従業員10名の場合(月額) | 従業員30名の場合(月額) | 特徴 |
|---|---|---|---|---|
| 1Password Business | 約1,200円 | 約12,000円 | 約36,000円 | 管理画面が直感的、日本語対応 |
| Keeper Business | 約660円 | 約6,600円 | 約19,800円 | コスパが高い、管理者向け機能が充実 |
| Bitwarden Teams | 約600円 | 約6,000円 | 約18,000円 | オープンソース、最安クラス |
| Microsoft Entra ID(旧Azure AD) | 約900円 | 約9,000円 | 約27,000円 | Microsoft 365利用企業に最適 |
※ 料金は2026年4月執筆時点の目安です。為替レートにより変動する場合があります。
導入は1〜2週間で完了します。手順は以下のとおりです。
・管理者アカウントを作成: 総務やIT担当者が管理者として登録し、組織を作成します。
・従業員を招待: メールアドレスで従業員を招待します。各自がマスターパスワードを設定します。
・既存のパスワードを移行: ブラウザに保存されていたパスワードをツールにインポートします。主要なツールはChrome・Edge・Firefoxからのインポートに対応しています。
・ブラウザ拡張機能を設定: Chrome・Edge用の拡張機能をインストールすると、ログイン画面で自動入力されるようになります。
4. 多要素認証(MFA)を有効にする
パスワードだけに頼らず、もう1つの認証手段を追加するのが多要素認証(MFA: Multi-Factor Authentication)です。パスワードが万が一漏れても、2つ目の認証がなければログインできないため、不正アクセスのリスクを99.9%以上削減できるとMicrosoftが報告しています。
中小企業で導入しやすいMFAの方法は以下の3つです。
・認証アプリ(推奨): スマートフォンにGoogle AuthenticatorやMicrosoft Authenticatorをインストールし、ログイン時に表示される6桁のコードを入力します。無料で利用可能です。
・SMSコード: ログイン時に携帯電話のSMSに送られる認証コードを入力します。手軽ですが、SIMスワップ攻撃(携帯番号を乗っ取る手口)に対する脆弱性があるため、認証アプリの方が安全です。
・セキュリティキー: YubiKeyなどの物理デバイスをUSBポートに挿してログインします。1本あたり5,000〜8,000円の費用がかかりますが、最も安全な方法です。経理担当者や経営者など、機密情報にアクセスする従業員に限定して配布するのが現実的です。
まずはメール(Microsoft 365やGoogle Workspace)とクラウド会計ソフトの2つから始めましょう。この2つだけでも、最も被害が大きくなるリスクを大幅に下げられます。
かかるコストと使える補助金
パスワード管理の改善にかかるコストと、活用できる補助金をまとめました。
| 対策内容 | 従業員10名の場合(月額・税込) | 従業員30名の場合(月額・税込) | 従業員50名の場合(月額・税込) |
|---|---|---|---|
| パスワード管理ツール | 約6,000〜12,000円 | 約18,000〜36,000円 | 約30,000〜60,000円 |
| 多要素認証(認証アプリ) | 無料 | 無料 | 無料 |
| セキュリティキー(経営層・経理のみ) | 約15,000〜24,000円(初回のみ) | 約25,000〜40,000円(初回のみ) | 約40,000〜64,000円(初回のみ) |
| ポリシー策定支援(外部委託の場合) | 5〜15万円(初回のみ) | 同左 | 同左 |
パスワード管理ツールと認証アプリだけなら、従業員30名の会社で月額18,000〜36,000円です。年額にすると約22〜43万円。パスワード漏えいによる情報セキュリティ事故が1件でも起これば、原因調査・顧客対応・業務停止で最低300万円以上の損害が発生することを考えれば、十分に元が取れる投資です。
活用できる補助金もあります(2026年4月執筆時点の情報です。申請前に最新の公募要領を確認してください)。
・IT導入補助金(セキュリティ対策推進枠): パスワード管理ツール等のセキュリティサービスが対象。補助率は1/2、補助上限額は100万円です。サービス利用料の最大2年分が補助対象になります。
・小規模事業者持続化補助金: ITツール導入も対象になる場合があります。補助上限額は50万円(通常枠)。販路開拓と合わせた計画として申請します。
よくある失敗と回避策
失敗1: 「覚えやすいパスワード」を推奨してしまう
「社名+部署名+数字」のような規則的なパスワードを全社で使わせるケースがあります。規則性があると推測されやすく、1人分のパスワードが分かれば全員分が芋づる式に推測されてしまいます。パスワード管理ツールに任せて、人間が覚える必要のないランダムなパスワードを使いましょう。
失敗2: パスワード管理ツールの「マスターパスワード」を甘くする
パスワード管理ツールのマスターパスワードは「金庫の鍵」です。ここが弱いと全パスワードが一度に流出します。マスターパスワードだけは16文字以上のパスフレーズを設定し、絶対に使い回さないルールを徹底してください。
失敗3: 多要素認証を「面倒」と言われて導入を諦める
MFAの導入直後は「手間が増えた」と不満が出ることがあります。しかし認証アプリのプッシュ通知なら「承認」ボタンを1回タップするだけで完了します。最初の1週間を乗り越えれば慣れるため、「まず1か月試してほしい」と伝えて導入してください。
失敗4: 退職者のアカウント削除手順を決めていない
退職時にアカウントを削除する手順が明文化されていないと、必ず漏れが出ます。「退職日にIT担当者が全サービスのアカウントを無効化する」「退職前日に上長が対象サービスのリストを確認する」というチェックリストを作り、人事担当者と共有しましょう。
本記事のまとめ
中小企業のパスワード管理は、4つのステップで改善できます。
・ステップ1: 利用中のサービスと現在のパスワード管理状況を棚卸しする
・ステップ2: パスワードポリシーを策定し、全従業員に周知する
・ステップ3: パスワード管理ツールを導入して「覚えない」運用に切り替える
・ステップ4: 多要素認証を有効にして、パスワード漏えい時の被害を防ぐ
コストは従業員30名でパスワード管理ツールが月額18,000〜36,000円、認証アプリは無料です。IT導入補助金を活用すれば負担をさらに軽減できます。まずはステップ1の棚卸しから始めてみてください。1〜2日で完了し、自社のリスクが具体的に見えてきます。
セキュリティ対策をさらに強化したい方は、姉妹サイトセキュリティマスターズ.TOKYOで最新のセキュリティ情報を解説しています。
自社のパスワード管理、このままで大丈夫ですか?
パスワードの使い回しや退職者アカウントの放置は、情報漏えいの原因の約半数を占めています。正しい手順で対策すれば、中小企業でもリスクを大幅に下げられます。
中小企業のDXを身近な業務改善から始めたい方へ、メルマガで実践的なDX推進ノウハウをお届けしています。
コメント