「社員が自分の誕生日をパスワードにしていて…」「共有アカウントのパスワードが社内で回覧されていて…」

個人でパスワードツールを使っていても、組織全体でルールがなければ、セキュリティの穴は塞げません。
IT担当者として、社内のパスワード管理をどう統制すべきか——これは避けて通れない課題です。

こんにちは、こんばんは。TechAtlas(てっくあとらす)です。

9,000社以上の中小企業を支援してきた経験から言えるのは、「個人の意識」だけに頼ったセキュリティは必ず破綻するということです。社員一人ひとりが気をつけていても、組織としてのルールがなければ、いつかどこかで穴が開きます。

この記事では、IT担当者が最初に整えるべき「社内パスワード管理ポリシー」と、現場で実践できる運用ルールを解説します。完璧なポリシーではなく、まずは「最低限守るべきライン」から始めましょう。

• なぜ「個人任せ」では危険なのか?
  • よくある「個人任せ」の実態
  • 個人任せが引き起こすリスク
• 【ステップ1】最低限の「パスワードポリシー」を作る
  • 基本的なパスワードポリシーの要素
  • パスワードポリシーのテンプレート
• 【ステップ2】組織向けパスワード管理ツールを導入する
  • 組織向けパスワード管理ツールの選び方
  • おすすめの組織向けツール3選
    • 1. Trend Micro パスワードマネージャー【日本企業の安心感】
    • 2. 1Password（ワンパスワード）【使いやすさNo.1】
    • 3. Keeper（キーパー）【エンタープライズ向け】
    • どれを選べばいい?【比較表】
• 【ステップ3】共有アカウントの管理ルールを作る
  • 共有アカウント管理の基本ルール
• 【ステップ4】退職者・異動者のアカウント管理
  • 退職・異動時のチェックリスト
  • 退職者管理のテンプレート
• 【ステップ5】社員への教育と徹底
  • 社員教育のポイント
• 【ステップ6】定期的な見直しと改善
  • 定期的にチェックすべきこと
  • 改善のサイクル
• よくある質問（FAQ）
  • Q1: 「パスワード管理ツールが使いにくい」という社員がいます
  • Q2: パスワード管理ツールが障害で使えなくなったら?
  • Q3: 高齢の社員がパスワード管理ツールを使えません
• まとめ

---

なぜ「個人任せ」では危険なのか?

まず、パスワード管理を個人任せにすることの危険性を理解しましょう。

よくある「個人任せ」の実態

中小企業でよく見る光景:
- デスクのモニターに付箋でパスワードが貼ってある
- Excelファイルに「パスワード一覧」が保存されている
- 全員が同じパスワードを使い回している
- 退職者のアカウントがそのまま残っている

これらは、個人の意識だけでは防げません。
組織としてのルールが必要です。

個人任せが引き起こすリスク

1. パスワードの使い回し
「覚えられないから、同じパスワードを全部のサービスで使っています」
→1つのサービスが漏洩すれば、すべてのアカウントが危険にさらされます。

2. 簡単すぎるパスワード
「password123」「会社名2024」のような簡単なパスワードは、数秒で破られます。

3. 共有アカウントの野放し
「前任者から引き継いだパスワード、10人くらいが知ってます」
→誰がアクセスしたか分からず、責任の所在が曖昧になります。

4. 退職者のアカウント放置
「あの人、辞めたけどアカウント消してない…」
→退職者が悪意を持ってアクセスするリスクがあります。

組織としてルールを作り、徹底させることが重要です。

---

【ステップ1】最低限の「パスワードポリシー」を作る

最初に作るべきは、社内全員が守るべき「パスワードポリシー」です。

基本的なパスワードポリシーの要素

1. パスワードの強度ルール

❌ 禁止するパスワード:
- 8文字未満のパスワード
- 辞書に載っている単語のみ（例: password、welcome）
- 連続した文字（例: 123456、abcdef）
- 個人情報（名前、誕生日、電話番号）
- 会社名のみ

✅ 推奨するパスワード:
- 12文字以上
- 英大文字・英小文字・数字・記号を混在
- 推測されにくい組み合わせ

例:
- ❌ 弱い: yamada1234（名前+数字）
- ✅ 強い: Y@m4!Tr3e#9Kx（ランダムな組み合わせ）

2. パスワードの使い回し禁止

ルール:
- 社内システムごとに異なるパスワードを使用
- 個人のプライベートアカウントと同じパスワードを使わない

実現方法:
後述するパスワード管理ツールの導入で実現します。

3. パスワードの定期変更

推奨頻度:
- 重要なアカウント（管理者権限）: 3ヶ月に1回
- 一般アカウント: 6ヶ月に1回

注意点:
変更頻度が高すぎると、社員が簡単なパスワードを使いがちになります。
適切な頻度を設定しましょう。
最近はパスワードの変更を強制しない方が良いとの説も増えてきました。

4. パスワードの保存・共有ルール

❌ やってはいけないこと:
- 紙に書いて保管
- Excelファイルで管理
- メールやチャットで送信
- 口頭で伝える

✅ やるべきこと:
- パスワード管理ツールを使用
- 必要最小限の人だけに共有
- アクセス権限を記録

パスワードポリシーのテンプレート

以下は、中小企業向けの簡単なテンプレートです。

【社内パスワード管理ポリシー】

1. パスワードの強度
   - 12文字以上
   - 英大文字・英小文字・数字・記号を混在
   - 辞書に載っている単語のみは禁止

2. パスワードの使い回し禁止
   - システムごとに異なるパスワードを使用

3. パスワードの保存方法
   - 会社指定のパスワード管理ツールを使用
   - 紙やExcelでの保存は禁止

4. パスワードの定期変更
   - 管理者アカウント: 3ヶ月に1回
   - 一般アカウント: 6ヶ月に1回

5. パスワードの共有
   - メール・チャットでの送信禁止
   - パスワード管理ツールの共有機能を使用

6. 違反時の対応
   - 初回: 注意・再教育
   - 再発: 上長への報告

制定日: 2025年○月○日
改定日: ━

このテンプレートをベースに、ご自身の組織に合わせてカスタマイズしましょう。

---

【ステップ2】組織向けパスワード管理ツールを導入する

個人レベルではなく、組織全体で管理できるツールを導入します。

組織向けパスワード管理ツールの選び方

必須機能:
1. 一元管理機能: IT担当者が全社員のアカウントを管理できる
2. 共有機能: チーム内で安全にパスワードを共有できる
3. アクセス権限管理: 誰がどのパスワードにアクセスできるか制御できる
4. 監査ログ: いつ誰がアクセスしたか記録される
5. 二段階認証対応: セキュリティをさらに強化

おすすめの組織向けツール3選

1. Trend Micro パスワードマネージャー【日本企業の安心感】

おすすめ度: ★★★★★

特徴:
- 日本の大手セキュリティ企業トレンドマイクロが開発
- 日本語サポートが充実しており、問い合わせも日本語で対応
- ウイルスバスターなど、セキュリティ分野で30年以上の実績
- 日本企業ならではの丁寧なサポート体制
- 無制限のパスワード保存が可能
- 多要素認証に対応

こんな企業におすすめ:
- 日本企業のサポートを重視したい
- セキュリティ専門企業の製品を使いたい
- 既にウイルスバスターを使っている
- 日本語での問い合わせ対応が必要

料金:
- 個人: 年間2,860円（月額約238円）
- ビジネス: お問い合わせ

公式サイト:
https://www.trendmicro.com/ja_jp/forHome/products/pwmgr.html

---

2. 1Password（ワンパスワード）【使いやすさNo.1】

おすすめ度: ★★★★★

特徴:
- 操作が非常に簡単で初心者向け
- 家族やチームでの共有機能が優秀
- パスワード以外にもクレジットカード情報、免許証などを安全に保存
- サポートが充実
- ビジネス向け機能が豊富
- セキュリティ面でも高評価

こんな企業におすすめ:
- 使いやすさを重視したい
- チームでパスワードを共有する必要がある
- サポートがしっかりしているツールが良い
- グローバルで実績のあるツールを使いたい

料金:
- 個人: 月2.99ドル
- ビジネス: 月7.99ドル/ユーザー

公式サイト:
https://1password.com/

---

3. Keeper（キーパー）【エンタープライズ向け】

おすすめ度: ★★★★☆

特徴:
- エンタープライズ向けの高度なセキュリティ機能
- ゼロ知識セキュリティアーキテクチャ採用
- 詳細なアクセス権限管理が可能
- コンプライアンス対応（SOC 2、ISO 27001など）
- ダークウェブ監視機能搭載
- 多要素認証、生体認証対応

こんな企業におすすめ:
- 大企業や厳格なセキュリティ基準が必要
- コンプライアンス対応が必須
- 詳細な権限管理が必要
- 高度なセキュリティ機能を求めている

料金:
- 個人: 年間34.99ドル
- ビジネス: 月45ドル/5ユーザー（年払い）

公式サイト:
https://www.keepersecurity.com/

---

どれを選べばいい?【比較表】

ツール	日本語サポート	使いやすさ	セキュリティ	チーム共有	おすすめ度
Trend Micro	◎	◎	◎	○	★★★★★
1Password	○	◎	◎	◎	★★★★★
Keeper	△	○	◎	◎	★★★★☆

迷ったら:
- 日本企業の安心感・日本語サポート重視 → Trend Micro
- 使いやすさ・チーム共有重視 → 1Password
- エンタープライズ向け高度なセキュリティ → Keeper

---

【ステップ3】共有アカウントの管理ルールを作る

社内で共有するアカウント（例: 会社のSNSアカウント、共有メールアドレス）の管理ルールを定めます。

共有アカウント管理の基本ルール

1. 共有アカウントのリストを作成

まず、社内で共有しているアカウントをすべてリストアップします。

例:

アカウント名	用途	アクセス権限者	最終変更日
会社公式X（Twitter）	SNS運用	広報部3名	2025-01-15
共有メールアドレス	問い合わせ対応	カスタマーサポート5名	2024-11-20
クラウドストレージ管理者	ファイル管理	IT担当者2名	2025-02-01

2. アクセス権限を最小限にする

「誰でもアクセスできる」状態は避け、必要最小限の人だけに権限を付与します。

原則:
- 必要な人だけにアクセス権限を与える
- 退職者・異動者の権限をすぐに削除
- 定期的に権限を見直す（3ヶ月〜6ヶ月に1回）

3. 定期的にパスワードを変更

共有アカウントは、特に定期的な変更が重要です。

推奨頻度:
- 3ヶ月に1回
- 担当者が異動・退職した時

---

【ステップ4】退職者・異動者のアカウント管理

退職者や異動者のアカウント管理は、セキュリティ上非常に重要です。

退職・異動時のチェックリスト

退職者が出た場合:

✅ 即日対応（退職日当日）:
- [ 　] 全システムのアカウントを無効化
- [ 　] 共有アカウントのパスワードを変更
- [ 　] パスワード管理ツールのアクセス権限を削除
- [ 　] VPN・リモートアクセスを無効化

✅ 1週間以内:
- [ 　] メールアカウントを削除または転送設定
- [ 　] クラウドストレージのデータを引き継ぎ
- [ 　] ライセンスの解約または再割り当て

異動者が出た場合:

✅ 異動日当日:
- [ 　] 不要なアクセス権限を削除
- [ 　] 新部署で必要な権限を付与
- [ 　] 共有アカウントの見直し

退職者管理のテンプレート

【退職者アカウント管理チェックリスト】

退職者名: _______________
退職日: _______________
担当者: _______________

□ Active Directory アカウント無効化
□ メールアカウント削除/転送設定
□ VPN アクセス削除
□ クラウドサービス（Microsoft 365、Google Workspace等）削除
□ 業務システムアカウント削除
□ 共有アカウントのパスワード変更
□ パスワード管理ツールのアクセス削除
□ 社内Wi-Fiアクセス削除
□ その他: _______________

完了日: _______________
確認者: _______________

このチェックリストを使って、漏れなく対応しましょう。

---

【ステップ5】社員への教育と徹底

どんなに良いポリシーを作っても、社員が守らなければ意味がありません。

社員教育のポイント

1. 導入時の説明会を開く

パスワード管理ツールを導入する際は、必ず説明会を開きます。

説明すべき内容:
- なぜパスワード管理が重要なのか
- 新しいツールの使い方
- 社内ルールの説明
- 質疑応答

所要時間: 30分〜1時間

2. マニュアルを作成する

文字と画像で説明したマニュアルを用意します。

マニュアルに含める内容:
- パスワード管理ツールのインストール方法
- パスワードの登録方法
- パスワードの生成方法
- 共有パスワードへのアクセス方法
- 困った時の問い合わせ先

3. 定期的にリマインドする

導入後も、定期的にルールをリマインドします。

リマインド方法:
- 月1回のメール配信
- 社内掲示板への掲載
- 朝礼での一言

4. 違反を発見したら即対応

「付箋にパスワードが貼ってある」「パスワードをメールで送っている」
こうした違反を発見したら、即座に注意します。

対応の流れ:
1. 本人に注意（なぜダメなのか説明）
2. 正しい方法を教える
3. 再発防止のためのフォロー
4. 繰り返す場合は上長に報告

---

【ステップ6】定期的な見直しと改善

パスワード管理ポリシーは、一度作ったら終わりではありません。

定期的にチェックすべきこと

月1回チェック:
- 退職者・異動者のアカウントが削除されているか
- 共有アカウントの権限が適切か
- パスワード管理ツールのライセンス状況

3ヶ月に1回チェック:
- パスワードの定期変更が行われているか
- 社員がルールを守っているか
- パスワード管理ツールの使用状況

年1回チェック:
- パスワードポリシーの見直し
- より良いツールがないか検討
- セキュリティインシデントの振り返り

改善のサイクル

PDCAサイクルで継続的に改善:

1. Plan（計画）: パスワードポリシーを作成
2. Do（実行）: ツールを導入し、ルールを徹底
3. Check（確認）: 定期的に運用状況をチェック
4. Act（改善）: 問題があれば改善

---

よくある質問（FAQ）

Q1: 「パスワード管理ツールが使いにくい」という社員がいます

A: 最初は使いにくく感じるかもしれませんが、慣れれば便利です。

対応策:
- 個別にサポートする時間を設ける
- よくある質問をまとめたFAQを作成
- 導入から３週間を過ぎるとこの手の連絡は落ち着きます

Q2: パスワード管理ツールが障害で使えなくなったら?

A: 緊急時のバックアップ手順を用意しておきます。

対応策:
- 重要なパスワードは紙に書いて金庫に保管（緊急用）
- 複数のツールを併用（メインとバックアップ）
- ツールのエクスポート機能で定期的にバックアップ

Q3: 高齢の社員がパスワード管理ツールを使えません

A: 丁寧にサポートし、段階的に導入します。

対応策:
- マンツーマンでサポート
- 紙のマニュアルを用意
- 最初は簡単な機能だけ使ってもらう

---

まとめ

今回のポイントをまとめます。

• ポイント1: 個人任せではなく、組織としてのパスワード管理ポリシーを作る
• ポイント2: 組織向けパスワード管理ツール（Bitwarden、1Password、Keeper）を導入
• ポイント3: 共有アカウントと退職者アカウントの管理ルールを徹底
• ポイント4: 社員教育と定期的な見直しで、継続的に改善

パスワード管理は、セキュリティの基本中の基本です。

個人レベルでの対策も重要ですが、組織としてルールを作り、ツールを導入し、全社員で徹底することで、初めて本当の安全が手に入ります。

「完璧なポリシー」を目指すのではなく、まずは「最低限のルール」を作り、運用しながら改善していきましょう。

IT担当者として、社内のパスワード管理を整えることは、会社全体のセキュリティを守る第一歩です。

---

TechAtlas(てっくあとらす) 元・中小企業ITインフラ支援部門責任者 | 9,000社以上の IT環境を支援してきた経験をもとに、IT初心者に寄り添う情報を発信中

ブログ: いきなりIT担当者になったら読むブログ