>
>
公開日
多くの企業や個人にとって、WebサービスやSaaSアカウントの管理は日々の業務に不可欠です。しかし、煩雑なログイン情報の管理において、多くのユーザーが「パスワードの使い回し」という深刻なセキュリティリスクを抱えています。
本記事では、パスワードマネージャーの基本的な仕組みからメリット・デメリット、そして多くの人が疑問に思う「Googleパスワードマネージャーの安全性と危険性」について詳しく解説します。
近年急増している『インフォスティーラー(情報窃取マルウェア)』の脅威や、2026年におけるパスキー対応の最新動向を交え、組織にとって本当に安全なパスワード管理方法を情シス視点で解き明かします。
パスワードマネージャーとは?安全性やGoogleとの違いを解説
パスワードマネージャーとは、暗号化技術を用いて無数のログイン情報を安全に保管・自動入力するデジタル金庫です。
本記事のポイント
使い回しの即時解消:日本人の約71%が抱える「使い回し」の脆弱性を根本解決できます。
最新脅威への対抗:ブラウザ保存を狙う「インフォスティーラー(情報窃取マルウェア)」から機密情報を守ります。
2026年最新規格への適合:普及が進む生体認証規格「パスキー」を安全に一元管理するハブとして対応できます。
法人のオフボーディング自動化:退職者発生時のアクセス権即時遮断とセキュアなアカウント共有が可能に。
パスワードマネージャーとは何か
パスワードマネージャーとは、インターネット上の各サービスのアカウントにおけるパスワード管理を効率化・強固にするための専門ツールです。利用する各サイトのパスワードや、社内システムへのログイン認証情報(SSO連携)を強固に暗号化して保管し、ログイン画面での自動入力をサポートします。ユーザーは「マスターパスワード」を1つだけ覚えることで、数百もの複雑なログイン資格情報を安全に運用できます。
Okta Japanが発表した「Customer Identity Trends Report 2025」によると、日本人の約71%が「自分のデータがどこでどのように使われているか追跡されていることに気づいている」と回答しています。パスワードの使い回しに関しては、同レポートで日本ユーザーのセキュリティ意識の低さが指摘されています。また、トレンドマイクロの調査(パスワード・パスキーの利用実態調査 2026)でも、84.3%が使い回しの事実を認めており、理由は「異なるパスワードを忘れてしまう」「考えるのが面倒」が上位を占めました。グローバルにおける個人のパスワードマネージャー利用率が約34%であるのに対し、日本国内は約20%にとどまっており、普及余地は大きい。
NISTが推奨する「定期変更の廃止」と最新動向
2024年から2026年にかけて、セキュリティのベストプラクティスは大きく変化しています。米国国立標準技術研究所(NIST SP 800-63B)や日本の内閣サイバーセキュリティセンター(NISC インターネットの安全・安心ハンドブック)は、かつて推奨されていた「パスワードの定期変更」を公式に非推奨としています。変更を強制されたユーザーが、末尾の数字を順に変えるだけの推測しやすいパターンに逃げる傾向があり、かえってハッキングのリスクを高めるためです。実務上のポイントは、定期変更ではなく、パスワードマネージャーを用いた「長く、ランダムで複雑なパスワードの一元管理」です。
このような背景から世界のパスワード管理市場は急成長を遂げており、2026年時点で約29億〜37.9億米ドルの市場規模に到達。2031年には約80億ドル規模にまで達すると予測されています(Mordor Intelligence、Fortune Business Insights 参照)。
脱パスワードとパスキー(Passkeys)の普及
現在、パスワード不要の生体認証規格であるFIDO「パスキー(Passkeys)」の普及が急速に進んでいます。国内でもメルカリ、東急百貨店、pixivなどの大手サービスがパスキーに対応しています。メルカリではパスキー導入後にログイン速度が3.9倍高速化し、東急百貨店ではログインにかかる時間が12倍短縮、pixivではログイン成功率が29%向上したというデータが報告されています(Google for Developers 事例紹介 参照)。パスキーの普及に伴い、現代のパスワードマネージャーは「文字列をただ保存するツール」から「異なるOSやデバイス間でパスキーを安全に同期・管理する必須プラットフォーム」へとその役割が広がっています。
▲ マスターパスワードによる安全な一元管理と自動入力の仕組み
Googleパスワードマネージャーと専用ツールの違い・安全性
無料で手軽なブラウザ標準機能は個人利用において利便性が高いものの、企業が求めるセキュリティ水準や高度な脅威への対策としては課題が残ります。
Googleパスワードマネージャーのメリット
Google パスワードマネージャーは、Googleアカウントを基盤にChromeブラウザやAndroid端末でスムーズに連動する点が大きな強みです。無償で提供され、安全なパスワードの自動生成機能や、ダークウェブなどへ認証情報が流出していないかをスキャンして警告する「パスワード チェックアップ機能」を標準搭載しています。ただし、ブラウザ・OS標準機能全般に共通する特徴として、特定エコシステム内での快適性は高い一方、他OSが混在する企業環境や高度な権限管理には対応しきれないケースが多い点は留意が必要です。
パスワードを保存するデメリット・使わない理由(危険性)
多くのセキュリティ専門家や法人が、ブラウザ標準の保存機能をあえて「使わない理由」には、明確な危険性(リスク)が存在します。
現在、サイバー犯罪の主役として急激に被害を拡大しているのが、情報の窃取に特化した「インフォスティーラー(情報窃取マルウェア)」です。インフォスティーラーはWebブラウザの特定フォルダ内に保存されたIDやパスワード、認証Cookieを一挙に読み取り、攻撃者のサーバーへ自動送信します。Webブラウザ標準のパスワード保存機能は、インフォスティーラーに感染した際に保存データを一括で読み取られるリスクがあります。さらに、私用端末のブラウザと会社のブラウザが不用意に同期されている場合、私用デバイスの感染を機に会社の機密システムへのログイン資格情報が流出する事件が多発しています。端末ロックが解除された状態で離席した際、第三者に他のアカウントへ簡単に不正ログインされてしまうリスクもブラウザ標準機能特有の盲点です。
専用ツールが安全な理由:ゼロ知識(Zero-Knowledge)暗号化の仕組み
独立した専用のパスワードマネージャーがより安全とされる技術的根拠が「ゼロ知識(Zero-Knowledge)暗号化」です。これは、パスワードなどの認証データの暗号化および復号の処理をすべてユーザーのローカルデバイス上で行うアーキテクチャです。データを管理するパスワードマネージャーベンダーのサーバーであっても、中身の平文パスワードを知る手段は一切存在しません。万が一ベンダーのサーバーが侵害されても、マスターパスワードなしには解読できません。企業の認証情報は暗号化されたまま保護され続けます。
▲ ブラウザ標準機能と専用パスワードマネージャーのセキュリティ・機能比較
パスワードマネージャーのメリット・デメリットと失敗対策
パスワードマネージャーは使い回しを完全に防ぎログインの手間を削減しますが、マスターパスワードの管理体制や、運用初期のユーザー教育に留意する必要があります。
パスワードマネージャーの法人導入におけるメリット
最大のメリットは、複雑で重複しないパスワードをアカウントごとに適用し、使い回しによるリスト型攻撃(クレデンシャルスタッフィング攻撃)の被害を根本から遮断できる点です。法人で導入する場合、以下の2点が法人ならではの導入効果として挙げられます。
退職者(オフボーディング)発生時の即時アクセス遮断:個人のブラウザ(ChromeやSafari)に会社のパスワードを記憶させていると、退職時にそれを消去させることは極めて困難です。専用の法人向けパスワードマネージャーがあれば、退職日にシステム管理者が管理画面から該当ユーザーを数クリックで無効化(デプロビジョニング)でき、全システムへのアクセス権を即座に消滅させられます。
セキュアな共有:特定のSNSや共通SaaSなど、複数人でログイン情報を共有せざるを得ない場合でも、Slackやメールでの平文での共有は不要です。専用ツールを介して、パスワードの文字列自体は伏字(マスク)にした状態のまま、ログイン権限のみを関係者に付与することができます。
パスワード自動生成のデメリットとよくある失敗パターン
強力なパスワード生成機能で作成された複雑な文字列は、人間の脳では記憶できません。そのため、緊急時に普段使わないデバイスからアクセスする際、手動入力が極めて困難になります。運用においてよく見られる4つの誤解・失敗パターンと、その対策を以下に示します。
失敗①:「ChromeやEdgeの保存で十分安全」という誤解
【対策】ブラウザ保存からの脱却:前述の通り、ブラウザ保存はインフォスティーラー(マルウェア)に対する強固な保護を持ちません。社用端末ではブラウザのパスワード保存機能をポリシーでオフにし、暗号化された専用ツールへ完全に移行させるべきです。失敗②:「マスターパスワードを忘れてデータを全喪失」
【対策】リカバリポリシーの事前設計:ゼロ知識暗号化の性質上、ベンダーによる復旧は不可能です。法人の場合は、管理者が特定ユーザーの暗号化キーを安全にリセットできる「エマージェンシー・アクセス」や「アカウントリカバリ機能」を初期セットアップ時に必ず設計・適用しておきましょう。失敗③:「面倒くさがってExcelやメモでの管理に戻る」
【対策】ブラウザ拡張機能とオートフィルの周知:初期の導入ハードルを下げるため、ブラウザ拡張機能のインストールと「自動入力(オートフィル)」の設定デモンストレーションを全社向けに実施します。「手動入力より圧倒的に楽になるツール」であることを体感させるデモを用意しましょう。失敗④:「1つのツールがハッキングされたら一網打尽になる懸念」
【対策】ゼロ知識暗号化+多要素認証(MFA)の義務化:マスターパスワードに加えて、スマホアプリ等でのワンタイムパスワード(MFA)を全ユーザーに強制します。MFAが突破されない限り、マスターパスワードが漏洩しても実害は生じません。
組織規模別・パスワードマネージャーの選び方と導入事例
自社の組織規模やセキュリティ統制レベル、既存のIDプロバイダー(IdP)との親和性を考慮した最適な選定が必要です。
組織規模別の比較ポイント
安全性の高い専用のパスワードマネージャーを選定する際の、規模別の機能比較を以下の表にまとめました。
対象規模 | 主な選定基準 | SSO/SAML連携 | 監査ログ機能 | 推奨される代表製品 | 費用感の目安 |
|---|---|---|---|---|---|
50名未満 | 導入のしやすさ・コストパフォーマンス優先 | オプションまたは非対応 | 簡易ログのみ | Bitwarden, 1Password | 月額約400円〜1,000円 / 1ユーザー(1Password料金) |
50〜300名 | 細かい権限管理・部門別共有 | 必須(Microsoft Entra ID等のIdP連携) | 標準対応 | 1Password, Keeper | 要問合せ(目安: 月額600円〜1,200円 / 1ユーザー) |
300名超 | オフボーディング自動化・統制強化 | 必須(SCIMプロビジョニング対応) | 高度な監査ログ・SIEM連携可能 | Keeper, 1Password(Enterprise) | 要問合せ(個別見積り) |
サイバー保険の加入審査でもMFAやパスワードマネージャーの導入が条件化されるケースが増えており、コンプライアンス観点からの導入圧力も強まっている。
法人向け導入事例とコスト削減効果
実際に専用のパスワードマネージャーを導入し、セキュリティ向上と運用工数の削減を両立した日本企業の成功事例を紹介します。
事例1:株式会社ヌーラボ(IT・SaaS企業)(Keeper公式事例ページ)
導入規模:中堅規模(フルリモート移行期)
課題:フルリモート環境への完全移行にあたり、それまで自社で開発・保守していた内製のパスワード管理システムの維持工数が膨らんでおり、社外からの安全なアクセス性向上にも限界を感じていた。
施策:Keeperを全社導入。既存のAzure AD(現 Microsoft Entra ID)とのSAML認証連携およびSSO環境を構築。
成果:新入社員が入社した際のアカウント付与や共有パスワードへのアクセス権設定がシステム上で一瞬で完了するようになり、内製ツールの保守コストや間接工数の一切を削減することに成功。
事例2:株式会社ワンチーム(運用型広告代理店)(Keeper公式事例ページ)
導入規模:成長企業
課題:クライアント企業の広告アカウントを大量に扱うため、担当者の異動やスタッフの退職に伴うアカウント情報(共有パスワード)の受け渡しや、セキュリティの担保が極めて高リスクかつ煩雑になっていた。
施策:Keeperを採用。パスワードを伏字(マスク)にした状態のままで運用スタッフにログイン権限のみを付与する仕組みを導入。
成果:スタッフが退職する際、管理者が管理コンソールから数クリックで対象者のアクセス権限を即座に剥奪可能に。共有パスワードを退職のたびに手動変更する多大な作業コストと、退職者からの不正アクセスリスクを完全に排除。
こうしたパスワード情報のライフサイクル管理に加え、「マネーフォワード Admina」のようなSaaS管理プラットフォームを組み合わせることで、退職者のアカウント削除漏れ(シャドーITリスク)まで含めた社内すべてのSaaSアカウントの一元管理が可能になります。
▲ 組織規模とセキュリティ要件で選ぶ最適なパスワードマネージャー判定フロー
よくある質問
パスワードマネージャーの選定や導入にあたり、企業や情シス担当者が直面しやすい代表的な疑問に回答します。
Q:Google パスワードマネージャーを使わない理由はありますか?
A:主な理由は、「インフォスティーラー」と呼ばれる情報窃取マルウェアへの脆弱性と、権限管理の不十分さです。ブラウザ標準機能はマルウェア感染時に保存データを一括窃取されるリスクがあり、また共有PCでの覗き見や、私用端末の同期による会社アカウント流出を防止できないため、法人利用では使わないことを強く推奨します。
Q:パスワードをブラウザに保存すると危険ですか?
A:はい。前述のインフォスティーラーに加え、NISCなどのガイドラインでも、安全な管理機能を持たないブラウザ保存の安易な利用には注意を促しています。近年流行しているマルウェアはブラウザ内のパスワード領域を自動で一斉に抜き出す設計になっており、法人環境での利用は特にリスクが高いと言えます。
Q:パスワードマネージャーを選ぶ際に注目すべき点は何ですか?
A:情報漏洩を物理的に防ぐ「ゼロ知識(Zero-Knowledge)暗号化」が採用されていること、多要素認証(MFA)が必須化できることが、まず確認すべきポイントです。さらに、法人利用においては、自社のIDプロバイダー(Microsoft Entra IDやOktaなど)とのSSO連携機能、および社員のログを記録する監査ログ機能の有無に注目してください。
Q:iPhoneのパスワードアプリ(キーチェーン)のデメリットは何ですか?
A:Apple製品の間では高い同期性能を持ちますが、Windows PCやAndroidなど他OSが混在するハイブリッド環境下では同期や自動入力がスムーズに機能しません。そのため、WindowsとMacが混在する環境や複数のOSを業務で使う企業では、マルチOSに対応した専用の独立型パスワードマネージャーの方が親和性が高いと言えます。
Q:マスターパスワードを忘れた場合の救済手段はありますか?
A:ゼロ知識暗号化が施されているため、ベンダー側であってもパスワードを特定・復旧させることはできません。法人が運用する場合は、管理者が対象ユーザーのデータを復旧・リセットできるよう、導入時に「アカウントリカバリ」や「エマージェンシー・アクセス」の管理者権限をあらかじめ設定しておく必要があります。
まとめ
明日から取り組むパスワード管理の安全な第一歩
人間の記憶とブラウザ保存への依存はインフォスティーラーの前に通用しなくなった。ゼロ知識暗号化を備えた専用のパスワードマネージャーへの移行は、コストパフォーマンスの高いセキュリティ投資だ。まず自社の現状を以下で確認してほしい。
今日からできるアクション
社員のパスワード使い回しの実態、およびブラウザ保存の有無を現状把握する
マスターパスワードの強度基準を社内ルール化する
ブラウザ保存への依存状況を棚卸しする
組織規模(50名、300名基準)に照らし合わせ、SSO連携や監査ログの必要性を整理する
パスキーに対応した主要SaaSにおいて、生体認証(パスキー)への切り替えを検討する
「マネーフォワード Admina」などのSaaS管理ツールと連携させ、退職者のアカウント無効化を自動化する計画を立てる
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
監修
Admina team
情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。
SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。
従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。
中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。
