社内のパスワード管理、Excelのままで本当に大丈夫?

情シスの仕事

(共感)社内のパスワード、Excelで管理していませんか?

「サーバーのパスワード、あのExcelに書いてあるから見てね」——情シス担当になると、こんな引き継ぎを一度は受けるのではないでしょうか。私自身も、前任者から色とりどりのセルで埋まった「パスワード一覧.xlsx」を渡されたとき、正直ゾッとした記憶があります。

ファイル名は「最新版_v3_最終_本当に最新.xlsx」。デスクトップに置きっぱなし。しかも開いてみると、社内システムから取引先サービス、共有メールアカウントのパスワードまで、ぜんぶ一つのシートに丸見えで並んでいる。「これ、誰でも見られちゃうのでは?」と思いながらも、忙しさにまぎれてそのまま使い続けてしまう。情シスの現場では、本当によくある光景です。

でも、これは決して「うちだけがだらしない」わけではありません。多くの会社が同じ状態のまま、なんとなく回ってしまっているのです。だからこそ怖い。

「とりあえずExcel」で回っているうちは、問題が起きていないのではなく、まだ気づいていないだけなのです。

(問題の本質)Excelパスワード管理が危険な本当の理由

「Excelにパスワードを書くのが危ない」と言われても、ピンと来ない方は多いと思います。だって、ファイルを開くときにパスワードをかけておけば大丈夫そうですし、社内の人しか見られないフォルダに入っているのだから——そう考えるのも自然です。

でも、問題の本質はもっと深いところにあります。それは、「誰が・いつ・どのパスワードを見たのか、まったく分からなくなる」ということです。

たとえるなら、Excelでのパスワード管理は「会社の全部屋の合鍵を、一冊のノートに書いて受付に置いておく」ようなものです。鍵そのものを盗まれなくても、ノートを一度コピーされてしまえば、合鍵を無限に複製されたのと同じこと。しかも、誰がそのノートを見たのかは記録に残りません。

Excelファイルは「コピーが一瞬で作れる」「メールに添付して外に送れる」「USBメモリで持ち出せる」という性質を持っています。つまり、一度作った瞬間から、情シスのコントロールが効かない場所へ無限に広がっていく危険があるのです。

パスワードそのものより怖いのは、「誰の手に渡ったか分からない」という不透明さなのです。

社内パスワード管理が危険な原因は3つある

情シスの目線で整理すると、Excel管理の危険性は大きく3つに分けられます。

原因① 暗号化されていない・パスワードが「平文」で見えてしまう

多くの一覧表は、パスワードがそのままの文字(平文:暗号化されていない、読める状態の文字)で書かれています。ファイルにパスワードをかけていても、Excelの簡易的なパスワードは専用ツールで短時間で解除できてしまうことが知られています。「鍵付きの箱に入れているから安心」と思っていても、その鍵が紙でできているようなものなのです。

原因② 使い回しと放置が起きやすい

一覧表があると、「全部同じパスワードにしておけば管理がラク」という発想になりがちです。私自身、過去に管理していた一覧で、十数個のサービスがすべて同じパスワードだったのを見つけて青ざめたことがあります。1つ漏れれば全部漏れる。さらに、退職者が使っていたパスワードがそのまま残り続ける「放置アカウント」も生まれやすくなります。

原因③ 変更・共有の履歴が残らない

「先月パスワードを変えたはずなのに、古いファイルを見て古いパスワードを使い続けている人がいる」。これもよくあるトラブルです。Excelはコピーが乱立するため、どれが最新か分からなくなります。誰がいつ更新したのか、誰がアクセスしたのかの記録(ログ)も残りません。何か起きたときに原因を追えないのです。

「ラクだから」で選んだ管理方法が、いざというとき一番の弱点になります。

解決方法:パスワード管理ツールを会社で導入するだけでOK

ここまで読むと不安になるかもしれませんが、安心してください。解決策はシンプルです。パスワード管理ツール(パスワードを暗号化して安全に保管し、自動入力もしてくれる専用のソフト)を会社で導入すること。これだけで、上の3つの原因のほとんどが解決します。

代表的なツールには「1Password(ワンパスワード)」や「Bitwarden(ビットウォーデン)」などがあります。会社で使う場合は、個人向けプランではなく「ビジネス向け・チーム向けプラン」を選ぶのがポイントです。

パスワード管理ツールを会社で使うと、こんなことができます。

  • 強力なパスワードの自動生成:複雑で破られにくいパスワードを、ツールが自動で作ってくれます。覚える必要はありません。
  • 暗号化された金庫での保管:すべてのパスワードは暗号化された「金庫(Vault:ボールト)」に保管され、平文で誰かに見られる心配がありません。
  • メンバーごとの権限管理:「この人にはこのパスワードだけ共有」といった細かい設定ができます。退職時はその人のアクセスを一括で止められます。
  • アクセス履歴(ログ)が残る:誰がいつどのパスワードを使ったかが記録されるので、何かあっても追跡できます。

たとえるなら、Excel管理が「受付の合鍵ノート」だとすれば、パスワード管理ツールは「本人確認をしないと開かない、出入りの記録が全部残る金庫室」です。安心感がまるで違います。

パスワードは「覚えるもの」から「安全に預けるもの」へ。発想を変えるだけで、現場はぐっとラクになります。

共有アカウントはどう扱う?

「経理用の共通メール」「会社の公式SNS」など、どうしても複数人で使う共有アカウントもありますよね。これも、付箋やExcelで回すのではなく、パスワード管理ツールの「共有金庫」機能を使うのが正解です。

ポイントは、パスワードの文字そのものを人に教えず、「使う権限」だけを渡すという考え方。ツール上で共有すれば、メンバーは中身を見なくてもログインでき、退職時は権限を外すだけ。パスワードを変更して全員に再通知する、あの面倒な作業から解放されます。

今日からできる具体的なアクション

「ツール導入は上司の承認も必要だし、すぐには無理…」という方も多いと思います。そこで、今日から動ける小さなステップを順番に挙げておきます。

  • まず「パスワード一覧Excel」がどこに、何個あるか探す:意外とあちこちに散らばっています。現状を知ることがスタートです。
  • 使い回し・退職者のパスワードがないか確認する:危険度の高いものから優先順位をつけます。
  • パスワード管理ツールを1人で無料お試ししてみる:1PasswordやBitwardenには無料トライアルや無料プランがあります。まず自分のアカウントで体感してみると、説明がしやすくなります。
  • 小さなチームで試験導入してみる:いきなり全社ではなく、情シス内など数人から始めると失敗しにくいです。
  • 上司・経営層に「リスク」と「コスト」で説明する:「便利だから」ではなく「漏れたら○○万円規模の損害になりうる」という観点で話すと、承認が通りやすくなります。

私自身、最初は1人でこっそり試して「これは現場が回る」と確信してから、上に提案しました。いきなり完璧を目指さず、「まず1つ移す」だけでいいのです。

まとめ:社内パスワード管理は「仕組み」で守る時代へ

社内のパスワード管理は、担当者の注意力や記憶力に頼っているうちは、いつか必ずどこかで事故が起きます。Excel管理が危険なのは、ファイルそのものより「誰の手に渡ったか分からない不透明さ」にあること。そして、その不安はパスワード管理ツールを会社で導入することで、ほとんど解消できます。

情シスの仕事は「ルールで縛ること」ではなく、「現場が自然と安全になる仕組みをつくること」だと、私は考えています。まずは手元の「パスワード一覧Excel」を1つ、ツールに移すところから始めてみてください。半年後の自分が、きっと感謝するはずです。

この記事が、あなたの会社の情報を守る最初の一歩になればうれしいです。


関連記事:AWSのパスワードを自動更新する仕組み(Secrets Manager) 関連記事:情シスの無茶振りへの対処法