先に要点
パスワードマネージャを入れるべきか迷う小規模チームは多いです。人数が少ないうちは、ブラウザ保存、表計算、チャット、メモアプリで何となく回ってしまうからです。ただ、その運用は、退職者対応、外注終了、共有アカウントの見直し、パスワード変更漏れで急に破綻します。
この記事では一般論の繰り返しではなく、導入を判断する具体的なしきい値、共有ボールトの命名規則と権限テンプレの実物、退職者対応でどこまで遡って変更するかのルールを、そのまま自社の運用ドキュメントに転記できる粒度で示します。
小規模チームでパスワード運用が崩れやすい理由
人数が少ない組織では、最初は代表者一人が各種サービスに登録し、後から必要に応じて共有する流れになりがちです。その結果、次のような状態が起きやすくなります。
- 管理画面のIDとパスワードがチャットの過去ログに残っている
- 誰がどのSaaSを契約したのか分からない
- 共用メールアドレスで登録したまま引き継いでいる
- 外注先に一時的に渡した認証情報がそのままになっている
- 同じパスワードを複数サービスで使い回している
この段階では大事故が起きていないため、問題が見えにくいのがやっかいです。担当者交代や漏えい事故が起きた瞬間に、どこまで影響が広がるか追えなくなります。特に怖いのは「チャットに貼ったパスワード」で、検索ログ・通知・スマホのキャッシュ・バックアップに複製が残り、後から完全に消すことが事実上できません。
導入を判断する独自しきい値
「いつ入れるべきか」を感覚で決めると、ずっと先送りになります。engineer.notes では、次のいずれか一つでも当てはまったら導入検討フェーズに入る、という線引きを推奨しています。あくまで運用設計の目安であり、規制要件があればそちらが優先です。
| 指標 | 様子見でよい | 導入検討の合図 | 導入を急ぐ |
|---|---|---|---|
| 共用アカウント数 | 0〜1 | 3以上 | 5以上 |
| ログイン情報に触る人数 | 1人 | 2〜3人 | 4人以上 |
| 外部(外注・保守)との共有 | なし | 不定期にある | 常時ある |
| 直近12カ月の入退社・契約終了 | 0件 | 1件 | 2件以上 |
| 「強い権限」アカウント数 (ドメイン/DNS/決済/メール配信) |
1〜2 | 3以上 | 5以上 |
「導入を急ぐ」列に一つでも入ったら、移行プロジェクトを翌月までに着手する目安です。逆に、完全な一人運用で重要アカウントが2つ以下、外部共有もないなら、チーム向け契約まで急ぐ必要はありません。その場合でも個人向けの無料プランで使い回しだけは潰しておくと、後でチーム移行するときに棚卸しが楽になります。
パスワード管理ツールを入れるメリット
価値は「覚えなくてよくなる」ことだけではありません。小規模チームでは次の3つが効きます。
1. 強いパスワードをサービスごとに分けやすい
CISA や NCSC も、長く一意なパスワードをサービスごとに使い分ける考え方を案内しています。専用ツールなら複雑な文字列を自動生成でき、使い回しを減らせます。生成の目安は、人が手入力しないものは32文字以上のランダム文字列、まれに口頭・電話で伝える必要があるものは20文字前後の単語連結(パスフレーズ)、と用途で分けると現場で破綻しにくくなります。
2. 誰に何を共有したかを整理しやすい
「とりあえず全員が見られる」状態になりやすいですが、本来はサービスごとに見せる相手を絞った方が安全です。共有保管庫(ボールト)、グループ、閲覧権限の仕組みがあると、共用アカウントでも雑な共有を減らせます。後述する命名規則を固定しておくと、半年後でも「これは誰向けの箱か」が一目で分かります。
3. 退職者や外注終了時の対応がしやすい
チャットや表計算で共有していると、退職者対応のときに「どこまで渡っていたか」が追えません。専用ツールなら、グループから外すだけで本人の閲覧を即座に切れます。ただし「閲覧を切る」と「漏れた可能性のある値を変える」は別物で、ここを混同するのが最大の事故源です(後述)。
共有ボールトの分け方:命名規則と権限テンプレの実物
ここが本記事の中心です。共有ボールトは「全員の共有」一つにせず、目的と機密度で分け、名前で意味が分かるようにします。次の命名規則を推奨します。
命名フォーマット
共有-{部門}-{用途}-{機密度} の4要素固定。例: 共有-開発-本番インフラ-S1、共有-管理-会計SaaS-S1、共有-全社-社内ツール-S3。機密度は S1(最重要)〜S3(低)の3段階だけにする。
機密度の定義
S1=漏れると金銭・ドメイン・本番に直撃(DNS、決済、本番クラウド、メール配信、ドメインレジストラ)。S2=業務影響大だが即被害ではない(各種SaaS管理者)。S3=共有して困りにくい(社内ポータル等)。
外部用は必ず分離
外注・保守向けは 共有-外部-{相手名}-{用途} で常設の社内ボールトと物理的に分ける。例: 共有-外部-A社-保守用。終了時にこのボールトごと畳めば、社内ボールトを触らずに切り離せる。
禁止事項
「全員共有」一つに全部入れない。S1とS3を同じボールトに混ぜない。個人の認証情報を共有ボールトに置かない(個人ボールトへ)。日本語のフリーテキスト名(例:「いろいろ」)を作らない。
権限は「役割×ボールト」で4テンプレに固定し、個別付与をしないのがコツです。個別に権限をいじり始めると、半年で誰も全体像を把握できなくなります。
| テンプレ名 | 付与する権限 | 対象グループの例 | 適用するボールト機密度 |
|---|---|---|---|
| Owner | 管理・メンバー追加削除・権限変更 | 管理者(2名以上) | 全ボールト |
| Editor | 閲覧・編集・新規追加(共有設定変更は不可) | 正社員の担当者 | S2 / S3 |
| Viewer | 閲覧・自動入力のみ(パスワード表示は監査対象) | 一般メンバー | S3 中心、必要時のみ S2 |
| External(期限付き) | 閲覧・自動入力のみ+有効期限を設定 | 外注・保守 | 共有-外部-* のみ |
原則として、S1ボールトには Editor/Viewer を「人」では割り当てず、Owner グループだけがアクセスし、必要な操作は本人が直接行う運用にします。S1の値を一般メンバーが見られる時点で、退職時に毎回その値を変えるコストが発生するためです。「見せない設計」が後の作業を減らします。
退職者・外注終了時にどこまで遡って変更するか
最も事故が多いのがここです。「アカウントを削除した」「グループから外した」で終わらせると、本人がすでに控えた値や、退職前に渡った値はそのまま生きています。判断の起点は「その人が、いつから、どのボールトに、どの権限でアクセスできたか」です。これを監査ログから割り出し、機密度ごとに遡及範囲を変えます。
| 対象 | 遡及して変更する範囲 | 変更の期限(目安) |
|---|---|---|
| S1(決済/DNS/本番/メール配信) | 本人がアクセス可能だった全アイテムを全件ローテーション。期間は問わない(在籍中ずっと見えていた前提で)。SSO連携・APIキー・デバイス紐づけも再発行・解除。 | 最終出社・契約終了から24時間以内 |
| S2(各種SaaS管理者) | 本人が過去90日以内に閲覧/編集したアイテムをローテーション。閲覧ログが取れない場合はボールト内全件。 | 3営業日以内 |
| S3(社内ポータル等) | 原則ローテーション不要。共有グループから除外し、共用アカウントなら次回更新時にまとめて変更。 | 次回の定期更新時 |
| 外部(外注・保守) | 共有-外部-{相手名} ボールトを丸ごと無効化+全件ローテーション。一時的に社内S1/S2を渡していた場合はそちらも対象。 |
契約終了日当日 |
遡及の起点を「最終出社日」ではなく「アクセス権を持っていた全期間」に置くのが要点です。退職交渉中や引き継ぎ期間に値を控えるのは難しくないため、特にS1では「在籍中に一度でも見えていたなら変える」を基本にします。次のチェックリストをオフボーディングのテンプレにします。
- 監査ログで本人のアクセス対象ボールト・最終アクセス日時を抽出した
- S1全件・S2は90日分(またはログ不能なら全件)をローテーションした
- 共用アカウントのパスワードを変更し、変更後の値をボールトのみに保存した(チャットに貼らない)
- 本人のSSO/IdPアカウントを無効化し、各SaaS側のセッションを強制ログアウトした
- 本人が発行したAPIキー・個人アクセストークンを再発行した
- MFA登録(認証アプリ・SMS・物理キー)から本人の端末を削除した
- 外部ボールトを無効化し、有効期限切れを確認した
- パスワードマネージャ自体のアカウントを最後に削除した(削除は最後。先に削除するとログ追跡がしづらくなる)
導入しても解決しないこと
ツールは便利ですが、次は自動では解決しません。
MFAを入れないままでは弱い
管理画面、メール、クラウド、会計、ドメイン管理のような重要アカウントは、パスワードだけで守るべきではありません。パスワードマネージャと MFA はセットです。可能なら認証アプリ(TOTP)以上、S1相当には物理セキュリティキー(FIDO2)を必須にします。
権限が広すぎると意味が薄い
全員が全部見られる設定なら、せっかくボールトを分けても効果が出ません。前述の4テンプレで「役割に対して最小の権限」を割り当て、S1は見せない設計にします。
マスターパスワードと復旧ルールを決めないと詰まる
復旧方法を一人しか知らないと、その人が不在のときに業務が止まります。管理者(Owner)は最低2名、緊急アクセス機能や復旧コードを金庫・別管理にして、年1回は復旧手順を実際に試す日を決めておきます。
「パスワードマネージャが破られたら」を正しく恐れる
過去にLastPassで、暗号化済みボールトのバックアップが盗まれる事故がありました(2022年)。サイトURLなど一部は平文、ユーザー名やパスワードはAES-256で暗号化され、復号鍵は各利用者のマスターパスワードから導出される設計でした。マスターパスワードはサービス側に保存されていなかったため即座に全件露出ではなかったものの、攻撃者はオフラインで時間無制限に総当たりでき、弱いマスターパスワードのボールトが後年になって破られ、暗号資産の窃取に悪用された事例が2025年まで報告されています。
ここから引ける実務上の教訓は明確です。
マスターパスワードは別格
他とは桁違いに強くする。最低でも単語連結で5〜6語(20文字以上)。使い回しは厳禁で、どこにも平文で残さない。
流出は「いつか起きる」前提
暗号化方式(エンドツーエンド)であること、反復回数などの鍵導出強度を確認する。古い設定のままなら強い値へ更新する。
安全性の順序
ブラウザ保存
ブラウザ保存では足りないのか
個人利用だけならブラウザの保存機能で足りる場面もあります。ただしチーム運用になると次の差が効きます。
- 共有範囲を役割ごとに分けにくい
- 退職者対応や棚卸し、監査ログが取りづらい
- 共用アカウントの安全な受け渡しに向かない
- 誰が何を持っているか把握しにくい
つまり個人の利便性だけならブラウザ保存でも回りますが、チームの引き継ぎ・権限管理・退職者対応まで考えると専用ツールの価値が出ます。
導入コストの目安
料金は変動するため契約前に各社公式で確認してください。2026年6月時点の代表的なチーム向けプランの参考レンジは次のとおりです。10人規模なら月数千円〜1万数千円で、退職者対応1回の手戻りコストを考えれば十分に見合う水準です。
| プラン例 | 参考価格(ユーザー単価) | 10人での月額目安 |
|---|---|---|
| Bitwarden Teams | 約 4 USD/人/月 | 約 40 USD |
| Bitwarden Enterprise | 約 6 USD/人/月 | 約 60 USD |
| 1Password Business | 約 7.99 USD/人/月 | 約 80 USD |
1Password には少人数向けの定額スターター(上限人数あり)もあります。価格だけでなく、権限管理・SSO連携・退職時の即時除外・監査ログの4点が揃っているかで選ぶのが安全です。
よくある失敗
- ツールだけ入れて命名規則・権限テンプレを決めない
- 共用ボールトに全部入れて誰でも見られるままにする
- MFAを後回しにする
- 退職時に「グループから外した」だけで満足し、S1の値を変えない
- 外注終了後の権限削除と有効期限設定を忘れる
- 復旧方法を一人しか知らない
これはツール選びの問題というより運用設計の問題です。小規模チームほど、完璧な管理より「最低限これだけは守る」を文書で決めた方が回ります。
パスワード管理ツールに関するよくある質問
Q. 共有ボールトはいくつから分ければよいですか?
A. 共用アカウントが3つを超えたら、最低でも「S1」と「それ以外」の2つに割るのが目安です。S1とS3を同じ箱に入れていると、退職のたびにS3まで巻き込んでローテーションする羽目になり、運用が重くなります。命名は 共有-部門-用途-機密度 で固定してください。
Q. 退職者が見ていたパスワードは全部変えるべきですか?
A. 機密度で変えます。S1は本人が在籍中にアクセスできた全件を期間問わず変更、S2は過去90日に閲覧・編集した分(ログが取れなければ全件)、S3は原則そのままで次回更新時にまとめて変更、が現実的な遡及ルールです。判断の起点は「アクセス権を持っていた全期間」で、最終出社日ではありません。
Q. 外注先への共有はどう管理しますか?
A. 社内の常設ボールトとは分け、共有-外部-相手名-用途 に隔離します。権限は閲覧のみ+有効期限付きの External テンプレを使い、契約終了日当日にボールトごと無効化し全件ローテーションします。社内のS1/S2を一時的に渡していた場合は、そちらも変更対象です。
Q. 個人で使うならどのパスワードマネージャが良いですか?
A. Bitwarden(無料の範囲が広い)、1Password(操作性重視)、KeePass(オフライン)、OS標準のキーチェーン系などが定番です。オープンソースかつクラウド同期で選ぶなら Bitwarden が人気です。
Q. チーム導入のおすすめは?
A. 機能の多さより、権限管理・SSO連携・退職時の即時除外・監査ログの4点が揃っているかで選びます。Bitwarden Teams や 1Password Business が小規模チームの定番です。料金は契約前に公式で確認してください。
Q. MFAはパスワードマネージャ自体にも設定すべきですか?
A. 必須です。マスターパスワードが漏れてもMFAで守れます。Owner権限を持つ管理者には物理セキュリティキー(FIDO2)を推奨します。マスターパスワードは他と桁違いに強くし、どこにも平文で残さないでください。
Q. パスワードマネージャ自体が破られたらどうなりますか?
A. エンドツーエンド暗号化方式なら、ボールトが盗まれてもマスターパスワードがなければ復号できません。ただしオフラインで総当たりされる前提で、弱いマスターパスワードは時間をかけて破られ得ます(LastPassの事例)。マスターパスワードを十分に強くし、重要サービス側のMFAを最後の砦として効かせることで被害を桁で減らせます。
まとめ
パスワードマネージャは、小規模チームでも十分導入価値があります。特に、共用アカウント・引き継ぎ・外注対応・退職者対応があるなら、チャットや表計算での共有よりはるかに安全で整理しやすくなります。
ただし本当に効くのは、導入そのものより、命名規則と権限テンプレで共有を設計すること、機密度ごとに遡及範囲を決めた退職者対応をルール化すること、S1にMFAを必須化することです。ツールは土台であり、線引きを文書で決めて初めて効果が出ます。