Excelファイル「パスワード一覧.xlsx」の恐怖
デスクトップに「パスワード一覧.xlsx」というファイルがあった。中身は、50以上のWebサービスのURL、ID、パスワードが並んだ一覧表。パスワードはほぼ同じ文字列の使い回し。ファイルにはパスワード保護すらかかっていなかった。
このファイルが流出した場合、銀行口座、クラウド会計、メール、全部のサービスに不正アクセスされる。事業用のデータが丸ごと抜かれる。考えるだけで冷や汗が出る。
一人で事業をやる人ほどセキュリティリスクが高い理由
大企業にはセキュリティチームがいる。社内のIT部門がアクセス管理をしている。一人で事業をやっている場合、セキュリティの責任者は自分一人だ。
具体的なリスク
- パスワードの使い回しによる芋づる式の不正アクセス
- フィッシングメールによるログイン情報の窃取
- PCの紛失・盗難による情報漏洩
- 退職したパートナーや外注先がアクセス権を保持したまま
- クラウドサービスのアカウント乗っ取り
被害が発生した場合の影響
| 漏洩する情報 | 想定される被害 |
|---|---|
| クラウド会計の認証情報 | 売上・経費・取引先情報の流出 |
| メールアカウント | 取引先への成りすまし、請求書詐欺 |
| ネットバンキングの認証情報 | 不正送金 |
| クライアントのデータ | 損害賠償、信用失墜 |
| SNSアカウント | ブランド毀損、フォロワーへの詐欺 |
一人社長の場合、情報漏洩は事業の存続に直結する。大企業なら「情報セキュリティ部門が対応中です」と言えるが、一人だとすべてを自分で処理しなければならない。
パスワードマネージャーとは何か
パスワードマネージャーは、すべてのログイン情報を暗号化して一元管理するツールだ。覚えるパスワードはマスターパスワード1つだけ。残りはすべてツールが生成・記憶・自動入力してくれる。
パスワードマネージャーの基本機能
- サービスごとに異なる強力なパスワードを自動生成
- ログイン情報を暗号化して安全に保存
- ブラウザ拡張機能でログインフォームに自動入力
- スマホアプリでモバイルでも利用可能
- 複数デバイス間で同期
- 漏洩チェック(流出したパスワードの検知)
3つのパスワードマネージャーを比較する
一人社長が現実的に選べる選択肢は、1Password、Bitwarden、LastPassの3つだ。
比較表
| 比較項目 | 1Password | Bitwarden | LastPass |
|---|---|---|---|
| 無料プラン | なし(14日間トライアル) | あり(機能制限少なめ) | あり(デバイス1種類のみ) |
| 個人プラン料金 | 月額$2.99〜(年払い) | 年額$19.80 | 月額$3.00(年払い) |
| ファミリープラン | 月額$4.99〜(5名まで) | 年額$47.88(6名まで) | 月額$4.00(6名まで) |
| セキュリティ監査 | 社内 + 外部監査 | オープンソース + 外部監査 | 過去に重大なインシデントあり |
| 2FA対応 | 対応 | 対応 | 対応 |
| ブラウザ拡張 | Chrome / Safari / Firefox / Edge | Chrome / Safari / Firefox / Edge | Chrome / Safari / Firefox / Edge |
| スマホアプリ | iOS / Android | iOS / Android | iOS / Android |
| 暗号化方式 | AES-256 | AES-256 | AES-256 |
| ゼロ知識設計 | あり | あり | あり |
| 日本語対応 | あり | あり(一部英語) | あり |
| 特徴的な機能 | Watchtower(漏洩監視)、トラベルモード | セルフホスト可能 | ダークウェブモニタリング |
1Password:使いやすさと信頼性のバランス
1Passwordは、UIの洗練度が高く、ITに詳しくなくても直感的に操作できる。Watchtower機能は、使用中のパスワードが漏洩データベースに含まれていないかを自動チェックしてくれる。
日本国内ではソースネクスト経由で「3年版」を購入すると、公式サイトより割安になるケースが多い。円安環境下ではこの差が大きい。
Bitwarden:コストパフォーマンスと透明性
Bitwardenは、オープンソースで開発されており、セキュリティの透明性が高い。無料プランでもデバイス数無制限で同期でき、基本的なパスワード管理機能はすべて使える。
有料プラン(Premium)は年額$19.80と、1Passwordの半額以下。緊急アクセス機能やYubiKey対応などの高度な2FA機能が使えるようになる。
LastPass:過去のインシデントを踏まえて判断
LastPassは長年の実績があるが、2022年にセキュリティインシデント(暗号化されたパスワード保管庫のバックアップが流出)が発生した。その後セキュリティ強化が行われているものの、信頼回復の途上にある。
既存ユーザーで不満がなければ継続利用は可能だが、新規導入であれば1PasswordまたはBitwardenを選ぶほうが安心だ。
結論
- 予算に余裕があり、使いやすさを重視するなら 1Password
- コストを最小限にしたいなら Bitwarden(無料プランでも十分実用的)
2FA(二要素認証)の設定
パスワードマネージャーの導入と同時に、重要なサービスには2FA(二要素認証)を設定する。パスワードが漏洩しても、2FAがあれば不正アクセスを防げる。
2FAを設定すべきサービス(優先順)
- メールアカウント(Gmail、Outlookなど)
- クラウド会計ソフト(freee、マネーフォワード、弥生)
- ネットバンキング
- クラウドストレージ(Google Drive、Dropboxなど)
- SNSアカウント(X、Instagram、Facebookなど)
- ドメイン管理サービス
- レンタルサーバー
2FAの種類
| 方式 | 安全性 | 利便性 |
|---|---|---|
| SMS認証 | 中(SIMスワップ攻撃のリスクあり) | 高い |
| 認証アプリ(Google Authenticator等) | 高い | やや手間がかかる |
| セキュリティキー(YubiKey等) | 非常に高い | デバイスの携帯が必要 |
| パスキー | 高い | 高い(対応サービスが増加中) |
認証アプリによる2FAが、安全性と利便性のバランスが最も良い。1PasswordやBitwardenには認証コード(TOTP)の管理機能も内蔵されている。
SaaSアカウントの棚卸し
パスワードマネージャーを導入するタイミングで、現在利用中のSaaSアカウントを棚卸しする。
棚卸しの手順
- パスワードマネージャーに既存のアカウントを登録していく(移行作業を兼ねる)
- 使っていないサービスを特定する
- 不要なアカウントは退会・削除する
- 残すアカウントはパスワードをすべて変更する(ツールで自動生成した強力なものに)
- 可能なサービスにはすべて2FAを設定する
チェックすべきポイント
- 無料トライアルで登録したまま放置しているサービスはないか
- 退職した外注スタッフのアカウントが残っていないか
- 共有アカウント(1つのIDを複数人で使用)がないか
- パスワードの使い回しが残っていないか
バックオフィス全体のSaaS管理については「一人社長のためのバックオフィスSaaS導入ガイド」も参照してほしい。
情報漏洩対策:パスワード以外にやるべきこと
パスワード管理はセキュリティ対策の一部にすぎない。以下の対策もあわせて実施する。
端末のセキュリティ
- PCとスマホにパスコード/生体認証を設定する
- OSとアプリを常に最新バージョンに更新する
- ストレージの暗号化を有効にする(macOSのFileVault、WindowsのBitLocker)
- Wi-Fiのパスワードを強固なものに変更する
- 公共Wi-Fiでは必ずVPNを使用する
データのバックアップ
- 事業データは最低2箇所にバックアップを取る(クラウド + 外部ストレージ)
- バックアップの復元テストを定期的に行う
物理的なセキュリティ
- ノートPCを持ち歩く場合、画面ロックを短時間で有効にする
- カフェやコワーキングスペースで離席する際はPCをロックする
- USBメモリの使用は最小限にする
DXの第一歩として取り組むべきチェックリストは「一人社長のDXチェックリスト(1年目編)」にまとめている。
自動化ツールとの連携については「ノーコード自動化ツール、何をどう自動化するか」を参照してほしい。
よくある質問
Q1. パスワードマネージャー自体がハッキングされたら?
1PasswordやBitwardenは「ゼロ知識設計」を採用している。サーバー側にはマスターパスワードも保管庫の復号キーも保存されていない。仮にサーバーが攻撃を受けても、暗号化されたデータのみが流出し、パスワード本体は読み取れない。ただし、マスターパスワードが弱い場合はブルートフォース攻撃のリスクがあるため、十分な長さ(16文字以上推奨)の強固なマスターパスワードを設定する。
Q2. マスターパスワードを忘れたらどうなる?
ゼロ知識設計のため、サービス提供元もマスターパスワードを把握していない。忘れるとデータを復旧できなくなる。1Passwordでは「Emergency Kit」(緊急用のリカバリーシート)が発行されるので、これを印刷して金庫や安全な場所に保管しておく。Bitwardenも同様にリカバリーコードが発行される。
Q3. ブラウザのパスワード保存機能ではダメなのか?
Chrome、Safari、Firefoxのパスワード保存機能は基本的な管理には使えるが、以下の点でパスワードマネージャーに劣る。漏洩チェック機能が限定的、サービス横断の管理が難しい、共有機能がない、2FAコードの管理ができない。セキュリティを本気で考えるなら、専用ツールの導入が望ましい。
Q4. 1PasswordとBitwardenの併用はありか?
技術的には可能だが、管理が煩雑になるため推奨しない。1つのパスワードマネージャーにすべてのアカウントを集約するのが、運用の継続性という観点で最も確実だ。
ここまでの整理
パスワード管理の改善は、セキュリティ対策の中で最もコストパフォーマンスが高い施策だ。
- パスワードマネージャーを導入する(1Password or Bitwarden)
- 既存のアカウントをすべて登録し、パスワードを自動生成のものに変更する
- 重要なサービスに2FA(二要素認証)を設定する
- 使っていないアカウントを棚卸しして削除する
- 端末のセキュリティ(暗号化、OS更新、画面ロック)を確認する
ここまでやっても、かかる時間は初回の設定で2〜3時間、月々の運用コストはBitwardenなら無料、1Passwordでも月額数百円だ。「パスワード一覧.xlsx」をデスクトップに置いている状態からは、今日卒業できる。
