パスワードマネージャー入門
「全サービス共通の覚えやすいパスワード」が一番危ない時代です。マネージャーに任せて、使い回しを完全に断つための実務的な手順を整理します。
1. 使い回しのリスク(クレデンシャルスタッフィング)
クレデンシャルスタッフィング(credential stuffing)は、他社サービスから漏えいしたID・パスワードの組を、別のサービスにそのまま試す攻撃です。同じパスワードを使い回していれば、1社の漏えいで芋づる式に他社アカウントも侵害されます。総務省「国民のためのサイバーセキュリティサイト」も「サービスごとに異なるパスワード」を強く推奨。覚える前提ではこれが現実的に不可能なので、マネージャーが必要になります。
2. マネージャーの仕組み
パスワードマネージャーは「ボールト(vault)」と呼ばれる暗号化された保管庫に、サービスごとのID・パスワード・メモを保存します。鍵となるのが「マスターパスワード」で、これでボールトを復号します。マスターパスワードは原則としてクラウド側に保存されない(ゼロ知識設計)製品が主流で、忘れたら誰も復号できません。利点はサービスごとに長くてランダムなパスワードを「覚えなくていい」こと、欠点はマスターパスワード喪失リスクと、マネージャー自体の侵害リスクです。
3. 主要マネージャー比較
代表的な選択肢:1Password(有料・ファミリープラン充実・国内ガイド豊富)、Bitwarden(オープンソース・無料プランあり・自前ホスティング可)、Apple iCloudキーチェーン(Apple端末ユーザは追加費用ゼロで使える)、Googleパスワードマネージャー(Chrome・Android使用者向け)。法人なら1Password Businessや Bitwarden Teamsが共有機能を備えます。「使う端末・OSの組合せ」「家族と共有するか」「自前ホスティングしたいか」で選んでください。
4. 導入手順
初日の手順:①マネージャーをインストール、②マスターパスワード設定、③MFA有効化、④主要サービスを1つずつ「現在のパスワードでログイン→マネージャーに記録→新パスワードに変更→記録更新」。一気にやろうとせず、メール・銀行・SNSなど「漏れたら困る順」に進めるのが現実的です。本ツールでサービスごとに16〜20文字の固有パスワードを生成し、即マネージャーに貼り付けて記録する流れがそのまま実務になります。
5. マスターパスワードの作り方
マスターパスワードは「覚える4本のうちの1本」。パスフレーズ形式で、できれば日本語IMEを介さず打てる英単語4〜6個+数字+記号、20文字以上が望ましい。例:「table-island-coffee-morning-2026」のように、自分だけが繋ぎを覚えられる順序で。家族や同僚と共有しない、紙に書いて金庫に入れる代わりにマネージャーの緊急アクセス機能やリカバリーキットを利用するのが王道です。
6. MFA併用とリカバリ
マネージャー本体・主要サービス共に多要素認証(MFA)を必ず併用してください。TOTP(Google Authenticator・Authy等)、ハードウェアキー(YubiKey)、パスキー(Passkey)が主要選択肢。リカバリコードは紙に出力して耐火金庫または信頼できる家族に預けるのが定石です。マネージャー乗り換え時はCSVエクスポート→新製品インポートで移行できますが、エクスポートしたCSVは平文なので作業後すぐ削除を。NIST SP 800-63BポリシーでMFAの位置づけも確認しておくと安心です。