社内でパスワードを安全に共有する方法

公開日作成日： 2022年12月29日

会社内のメンバーとパスワードを共有する最も実用的かつ安全な方法は、専用のパスワードマネージャーを利用することです。多くの職場ではパスワードの共有を完全に避けることは難しく、Keeper Securityのインサイトレポートによれば、従業員の40%が業務において複数のアカウントで同じパスワードを使い回しています。誤った方法でパスワードを共有すると、ログイン情報が漏えいし、機密データに不正アクセスされるおそれがあります。推奨されるのは、権限管理、監査、アクセス権の取り消しに対応したパスワードマネージャーで共有する方法です。

メールやチャットでの平文送信、紙への記載、Excelでのリスト管理、共有用認証情報の使い回しといった方法は避け、共有時には、誰が閲覧できるのか、いつアクセスを取り消せるのか、操作履歴が記録されているか、の3つの基本に注目しましょう。

ここでは、社内で安全にパスワードを共有するための基本と、避けるべき共有方法について整理します。

ビジネスプラン14日無料トライアルでKeeperが企業の安全を支えますビジネスのセキュリティ対策をKeeperで強化！

無料で試す

社内でパスワードを共有する際の問題

パスワードの共有はやむを得ない場合もありますが、適切に管理する必要があります。安全でない共有方法は、インシデントの入り口となりかねません。

情報漏洩リスクの増大

FAX、付箋、メール、スプレッドシート、SlackやTeamsなどのチャットアプリでパスワードを共有すると、転送、誤送信、スクリーンショット、デバイスの紛失、アカウント侵害などにより外部へ流出するリスクが高まります。認証情報がいったん漏洩すると、被害の拡大防止は難しくなり、不正利用に気付かないままになることもあります。

こうした方法は監査証跡がほとんど残らないため、何が起きたのかを特定することが難しく、インシデント対応の遅れにつながります。

日本の職場でよくある落とし穴：

パスワードを紙に書く、付箋に貼る、口頭で伝える、印刷物で受け渡すといった方法。これらは追跡が難しく、復旧も困難で、簡単に複製されてしまいます。

内部脅威リスクの増大

内部脅威は、認証情報を共有する人数が増えるほど発生しやすくなります。誰がいつアクセスし、どのように利用したのかを把握することが難しくなるためです。共有された認証情報は、過失、不満、意図的な悪用など、さまざまな状況でリスクとなり得ます。

特に重要なのが退職時の対応です。従業員の退職や役職変更後も共有アクセス権が残っている場合、アカウントへのアクセスが可能なまま悪用されるおそれがあります。

時間とともに低下するパスワード強度

共有が常態化すると、覚えやすく入力しやすいパスワードに偏り、パスワード強度が低下しがちです。使い回しや推測されやすいパターンも、クレデンシャルスタッフィング攻撃やアカウント侵害のリスクを高めます。

コンプライアンスリスク

多くのサービスや社内ポリシーでは、アカウントの共有を非推奨または禁止しています。誰がいつ何にアクセスしたかを記録・確認できない場合、安全でない共有は社内統制やコンプライアンス要件への違反につながりかねません。

社内でパスワードを共有する際の適切な対処法

共有を完全になくすのではなく、安全で再現性のある共有方法を確立することが現実的なゴールです。重要なのは、明確なコントロールとプロセスを整備することです。

ここでは、あなたの会社内やチームがパスワードを安全な共有を実践するための 4つの対処法を紹介します。

1. パスワードマネージャーを利用する

パスワードマネージャーは、認証情報の安全な共有と管理を前提に設計されているため、最初に検討すべき選択肢です。

チーム環境でパスワードを安全に共有するには、次の機能が重要です。

権限設定（例：閲覧のみ、編集、再共有）
監査ログ（誰がいつ何にアクセスしたか）
アクセス権の取り消し（退職や役職変更時にすばやくアクセスを解除）
パスワードを開示せずにアクセスを共有する仕組み（該当する場合）
共有先にパスワード本体を表示・コピーさせずにアクセスを許可する機能

「パスワード文字列を共有する」のではなく、「制御されたアクセスを共有する」へと考え方を切り替えることが、より安全なアプローチです。Keeper® は、安全な運用に必要なチームでの安全な共有が可能な機能を備えています。

2. 強力なパスワード習慣を身につける

強力なパスワードと適切な運用習慣は、特に共有アカウントにおいてリスクの低減につながります。

パスワードを使い回さない（共有アカウントでの使い回しは特に危険です）
大文字、小文字、数字、記号を組み合わせた、長くユニークなパスワードを使用する
可能な場所では多要素認証（MFA）を有効にする
ランダムなパスワードジェネレーターを使用する。人間は、覚えやすい辞書的な単語を使ったパスワードを作ることが多くあります。ランダムなパスワードジェネレーターにより、解読が困難な強力なパスワードを作成することができます。

共有アカウントは攻撃の標的になりやすいため、決まったスケジュールに頼るのではなく、セキュリティイベントや役職変更が発生したタイミングでこまめにパスワードを更新するべきです。

3. 従業員の退職時にパスワードをリセットする

オフボーディング対応の遅れは、長期にわたる情報漏えいの最も一般的な原因のひとつです。特に共有アカウントは、役職変更時にも高リスクとして扱う必要があります。

オフボーディング(退職時・離職時)チェックリスト

共有された認証情報のアクセス権を取り消す
共有されている認証情報を更新する
共有フォルダとチームの権限を見直す
必要に応じて多要素認証（MFA）およびシングルサインオン（SSO）の変更を確認する

4. 最小権限の原則を徹底する

共有とは、全員に同じレベルのアクセス権を与えることではありません。最小権限の原則は、必要な範囲にのみアクセスを限定することでリスクを低減します。

閲覧のみで十分な場合に編集権限を付与しない
認証情報を再共有できる人を制限する
管理者権限と一般のアクセス権を分離する

またKeeperのような多くのパスワードマネージャーは、ロールベースのアクセス制御を提供しており、各従業員の役割や責任に応じて、共有の制限や許可の制限を行うことができます。管理者は多くの場合、パスワードマネージャーのダッシュボードを通じて最小特権のロール許可を制御します。

「認証情報の共有」と「ファイル・フォルダのパスワード保護」は別の課題

ファイルやフォルダにパスワードを設定することは、共有文書の保護に有効です。一方、ログイン認証情報（IDとパスワード）の共有は、システムやサービスへの入り口を制御するという点で、その性質が異なります。

社内で認証情報を共有する際に重要なのは、次のポイントです。

誰がどの権限レベルでアクセスできるのか
利用状況をあとから確認できるか（監査）
役職変更や退職時にアクセスを即座に取り消せるか
共有アカウントを定期的にローテーションできるか

フォルダ保護だけでは、アカウント利用におけるアクセスガバナンスや監査証跡を提供できません。だからこそ、認証情報は権限管理、監査、アクセス権の取り消しに対応した方法で共有すべきなのです。

Keeperで安全な共有を運用する方法

安全な共有は、個人の習慣に依存せず、再現性と一貫性のある仕組みとして運用する必要があります。Keeperパスワードマネージャーは、エンドツーエンドの暗号化とゼロ知識セキュリティアーキテクチャで保護されたKeeperボルトを通じて、チーム内の認証情報を一元管理します。これにより、許可されたユーザーのみが付与されたアクセス権の範囲で情報を確認できます。一時的な利用や社外との共有が必要な場合には、自己破棄レコードや、レコードを限定的な期間だけ広く露出せずに渡せるワンタイム共有といった、安全な共有パターンをKeeperでサポートしています。

Keeperを利用すると、次のような運用が可能です。

チームや部門ごとに共有フォルダを作成する
権限を設定する（閲覧、編集、再共有）
定期的なアクセスレビューを実施する
オフボーディングのワークフロー（アクセス解除）を定義する
監査ログを使用して、誰がいつ何にアクセスしたかを確認する

まとめ：会社内でパスワードを安全に共有するならKeeper

Keeperは、共有アカウントを含む共有認証情報の管理を、権限管理、監査の可視化、迅速なアクセス取り消しによって支援します。

権限を分けて安全に共有（閲覧のみ、編集、再共有）
監査ログで利用状況を追跡（誰がいつ何にアクセスしたか）
オフボーディングや役職変更時にすばやくアクセス権を取り消し
メール、チャット、紙、スプレッドシート、共有用社員IDなどの安全でない方法を回避

Keeperパスワードマネージャーは、個人向けに30日間、ビジネスプランは14日間の無料トライアルでお試しいただけます。
組織に合わせたガイダンスをご希望の場合は、カスタムデモをお気軽にお申し込みください。

ビジネス版: 14日間の無料体験を試す

カスタムデモをリクエストする

よくある質問

社内で安全にパスワードを共有するにはどうすればよいですか？

メールやチャットでの平文送信は避けましょう。Keeperパスワードマネージャーのように、権限管理、監査ログ、アクセス権の取り消しに対応したチーム向けのパスワードマネージャーを利用してください。共有は必要最小限の人数にとどめ、権限を分け、役職変更や退職時にはすばやくアクセス権を取り消し、共有パスワードは定期的にローテーションしましょう。固定のローテーションスケジュールに頼るのではなく、セキュリティイベントやアクセス変更が発生したタイミングで共有認証情報を更新してください。

従業員同士でパスワードを共有することにはどのようなリスクがありますか？

主なリスクは、情報漏えい、内部不正、退職時の情報露出、監査可能性の欠如です。パスワードは転送、誤送信、スクリーンショットなどによって広がる可能性があり、誰がいつアカウントにアクセスしたのかを把握することが難しくなります。共有された認証情報は、ひとつのアカウントが侵害された場合の認証情報の使い回しや横展開（ラテラルムーブメント）のリスクも高めます。

共有アカウントを管理する最良の方法は？

共有アカウントは、単なる共有文字列ではなく、運用の仕組みとして管理しましょう。Keeperパスワードマネージャーを利用すれば、明確な権限設定、監査の可視化、退職時のアクセス取り消し、共有認証情報の定期的なローテーションが可能です。

チームでGoogleアカウントを共有する必要がある場合はどうすればよいですか？

ひとつのログインを複数人で共有することは、監査可能性、アカウンタビリティ、退職対応、MFA管理の面でリスクを高めます。可能な限りログイン自体の共有は避け、委任、共有メールボックス、ドライブやカレンダーでの個別アイテム共有といった、より安全な代替手段を活用しましょう。

Yuma Goddard

作成者： Yuma Goddard

Yuma GoddardはKeeper Securityのコンテンツスペシャリストで、サイバーセキュリティに関するトピックの検索パフォーマンスと明確性を向上させるために日本語コンテンツの最適化とローカライゼーションを担当しています。過去の同様の経験を活かして、複雑なセキュリティ概念をわかりやすい内容に置き換える支援をしています。