中小企業のパスワード管理｜安全な運用ルールとパスワードマネージャー導入ガイド

中小企業のパスワード管理の現実

「パスワードは使い回している」「付箋にパスワードを書いてモニターに貼っている」「全員同じ共有パスワードを使っている」——中小企業のIT環境では、今でもこうした状態が珍しくありません。

業務で使うSaaSが増えるほど管理すべきパスワードの数は増え、社員1人あたり平均70〜80個のパスワードを管理しているとされています。人間の記憶力には限界があり、「覚えやすい（＝推測しやすい）パスワード」や「使い回し」に走るのは当然の帰結です。

問題は、パスワードの使い回しがサイバー攻撃の最大の入口であるということです。1つのサービスから漏洩したパスワードを使って他のサービスに不正ログインする「クレデンシャルスタッフィング攻撃」は、自動化ツールにより大規模に実行されています。

NISTの最新ガイドライン（SP 800-63B）に基づくパスワードポリシーのポイントです。

最低12文字以上 — 8文字では総当たり攻撃に対して十分な強度がない。12文字以上を推奨
パスフレーズを推奨 — 「raNd0m!P@ss」よりも「coffee-mountain-blue-river」のような長いフレーズの方が安全かつ覚えやすい
定期変更は不要 — NISTは定期的なパスワード変更を非推奨に変更。漏洩が疑われる場合のみ変更すればよい
使い回し禁止 — サービスごとに固有のパスワードを使用。パスワードマネージャーの利用が前提
MFAと併用 — パスワードだけでは不十分。MFA（多要素認証）を全サービスに適用

💡 よくある間違い

「大文字・小文字・数字・記号を必ず含める」という要件は、NISTの最新ガイドラインでは非推奨です。複雑さの要件はパスワードの予測困難性にほとんど寄与せず、社員の負担を増やすだけとされています。長さが最も重要です。

パスワードマネージャーは、全パスワードを暗号化して一元管理し、マスターパスワード1つで利用できるツールです。

製品	料金（1ユーザー/月）	特徴	おすすめ企業
1Password Business	約$7.99	使いやすいUI、Watchtower（漏洩監視）	全般におすすめ
Bitwarden Teams	約$4	オープンソース、コスト重視なら	コスト重視の企業
Keeper Business	約$3.75	コンプライアンス重視、暗闘ウェブ監視	規制業界
Microsoft Authenticator	0円（M365に付属）	パスワードレスサインイン、MFA	M365利用企業

SSO（シングルサインオン）を導入すれば、社員は1つのIDとパスワードで複数のSaaSにログインできます。Microsoft Entra ID（M365に付属）をIDプロバイダーとして利用すれば、対応する数千のSaaSへのSSOが可能です。

SSOのメリットは3つあります。社員が管理すべきパスワードの数が劇的に減ること、退職時にEntra IDのアカウントを無効にするだけで全SaaSへのアクセスを一括停止できること、条件付きアクセスポリシーが全SaaSに適用されることです。

SSO対応は有料プランのみというSaaSも多いので注意が必要です。SaaS選定時にSSO対応の有無と追加コストを必ず確認しましょう。

最も安全なパスワードは「パスワードを使わない」ことです。FIDO2セキュリティキー（YubiKey等）やWindows Hello（顔認証・指紋認証）、Microsoft Authenticatorのパスワードレスサインインを使えば、パスワード自体を不要にできます。

パスワードレス認証は、フィッシング攻撃に対して原理的に耐性があるため、セキュリティの面で圧倒的に優れています。Microsoft 365 Business Premium + Entra ID P1の環境であれば、追加コストなしでパスワードレスを導入可能です。

💡 BTNコンサルティングのセキュリティ支援

情シス365のSecurity365プランでは、パスワードポリシーの策定、パスワードマネージャーの選定・導入、SSO設計、パスワードレス認証の実装まで支援します。
→ 情シス365の詳細を見る

パスワード管理は「社員の自己責任」にしてはいけません。パスワードマネージャーの全社導入、SSOによる認証の一元化、MFAの併用——この3つを組み合わせることで、セキュリティと利便性を同時に向上できます。将来的にはパスワードレス認証への移行も視野に入れましょう。