中小企業のパスワード管理と多要素認証(MFA)|使い回しをやめる現実的な進め方【2026年版】

南京錠・鍵・金庫(パスワード管理ツール)・スマホの承認画面で、安全なログインを表したイラスト。

 結論から言うと、中小企業がまず手をつけるべきパスワード対策は、たった2つです——①パスワードを使い回さない(サービスごとに違うものにする)/②重要なアカウントに多要素認証(MFA)をかける。この2つを押さえるだけで、不正ログインの被害の多くは防ぎやすくなります。高価なツールも、難しい専門知識も要りません。

 私はMintSparkで情報処理安全確保支援士として、中小企業のセキュリティ支援を行っています。「うちにはIT担当がいない」という会社でも今日から実践できるよう、専門用語はできるだけ噛み砕いて整理します。

目次

結論:まず押さえる2つ

今日から押さえる2つ

  • パスワードを使い回さない(サービスごとに別のものにする)
  • 重要なアカウントに多要素認証(MFA)を設定する

先に知っておくこと

  • どちらも「これで万能」ではありません。ただ、被害の入口になりやすい“使い回し”を断つことが、最も費用対効果の高い一歩です。

なぜ「使い回し」がいちばん危ないのか

 パスワードの使い回しが危険なのは、1つのサービスから漏れると、芋づる式に他のサービスまで破られるからです。攻撃者は、どこかで流出したIDとパスワードの組み合わせを使い、別のサービスへ次々にログインを試みます。これを「パスワードリスト攻撃」と呼びます。総務省も「サービスから流出したアカウント情報を使って、他のサービスへの不正ログインを試す攻撃の手口が知られている」と注意を促しています(出典:総務省)。

 つまり、1か所でも使い回していれば、そこが突破口になります。だからこそ「使い回さない」が、対策の一丁目一番地です。

対策①:サービスごとに違うパスワードにする

 とはいえ、サービスごとに全部バラバラの複雑なパスワードを暗記するのは現実的ではありません。現実的な方法は、次の2つです。

使い回しをやめる、現実的な2つの方法

  • コアパスワード方式:覚えやすい“核”のパスワードに、サービスごとに違う文字を足す(IPAが紹介している方法です)
  • パスワード管理ツール(パスワードマネージャー):長く複雑なパスワードを自動で生成・記憶し、自分は1つのマスターパスワードだけ覚える

 IPAは、パスワードを「できるだけ長く」「複雑で」「使い回さない」ものにすることを推奨しています(出典:IPA 不正ログイン対策特集ページ)。

対策②:多要素認証(MFA)とは・どこにかける

 多要素認証(MFA。2段階認証とも呼ばれます)とは、パスワード(知識情報)に加えて、スマホに届く確認コードや承認(所持情報)、指紋・顔(生体情報)など、種類の違う2つ以上の要素でログインを確認するしくみです。

多要素認証のしくみの図。ID・パスワード(知識情報)とスマホで承認(所持情報)の2つがそろって初めてログインが許可される。

 メリットは明快です。IPAは「多要素認証を設定していれば、仮にIDおよびパスワードを不正に利用されても、それだけではログインできない」として、不正ログイン防止に効果があるとしています(出典:IPA)。パスワードが漏れても、2つ目の壁で止められるわけです。

 すべてに設定する必要はありません。まずは被害が大きいアカウントから優先しましょう。

多要素認証を優先したいアカウント

  • 会社のメール(乗っ取られると取引先へ被害が広がる)
  • ネットバンキング・会計/給与サービス
  • Googleビジネスプロフィール・各種SNS(店舗の看板)
  • クラウドストレージ・グループウェア

一歩進んだ話:証券会社で必須になる「パスキー」

 最近、ニュースで「パスキー」という言葉を見聞きした方も多いかもしれません。きっかけの一つが、証券業界の動きです。2025年、証券口座が乗っ取られ、株式を勝手に売買される不正アクセス被害が相次ぎました。これを受けて金融庁は監督指針を改正し、証券会社などに対し、ログインや出金といった重要な操作で「フィッシングに耐性のある多要素認証(パスキーによる認証など)」を、原則2026年6月末までに必須化するよう求めています(出典:金融庁)。日本証券業協会も、利用者への注意喚起とガイドライン改正を行いました(出典:日本証券業協会)。

 「多要素認証を足せば安心では?」と思うかもしれません。ところが近年は、リアルタイム型フィッシング(中間者攻撃)という手口が広がっています。本物そっくりの偽サイトに入力させたパスワードとSMSのワンタイムコードを、攻撃者がその場で本物のサイトに中継してログインしてしまう手口です。SMSやワンタイムコードは「利用者が入力して渡す情報」なので、中継されると突破されてしまいます。

フィッシングでの違いの図。パスワード+SMSは偽サイトに入力した情報を本物サイトへ中継され突破される。パスキーは偽サイトのドメインが違うため反応せず認証が成立しない。

 パスキー(FIDOという国際規格に基づく認証)は、ここが根本的に違います。パスキーはサービスのドメイン(正規のアドレス)と結びついた公開鍵暗号で、偽サイトはドメインが違うためパスキーが反応せず、認証そのものが成立しません。さらに、認証の「秘密の鍵」は利用者の端末から外に出ず、サービス側も保存しません(出典:FIDO Alliance)。つまり、パスワードやワンタイムコードのように盗んで中継できる「共有の秘密」がないため、中継型フィッシングが実質的に効かなくなります。フィッシングへの強さという点で、水準が大きく上がります。

パスキーは、MFAとは別の概念?

  • 別物ではなく、MFA(多要素認証)の中でも、特にフィッシングに強い方式と捉えると分かりやすいです。
  • パスキーは「端末を持っていること(所持)」+「指紋・顔・PINでの本人確認」を1回の操作で満たすため、それ自体が実質的に多要素です。
  • SMS/ワンタイムコード型のMFAより、一段強い認証だと整理できます。

自社のサービスにも導入すべき?

  • 顧客のログインを扱い、特にお金・資産・個人情報を預かるデジタルサービス(SaaS・EC・会員サイトなど)なら、パスキー対応を前向きに検討する価値があります。
  • 金融庁の動きは金融業界向けですが、フィッシングは業種を問いません。
  • 進め方は段階的に。まず多要素認証を必須化し、次にパスキー(技術的にはWebAuthn対応)を追加、という順序が現実的です。

過信は禁物

  • パスキーも、すべてのリスクをなくす「万能薬」ではありません。端末の紛失・故障や、端末そのものを狙う攻撃など、別のリスクは残ります。
  • 端末を無くしたときの復旧手段(バックアップや予備の認証)まで含めて設計することが大切です。

やりがちなNG(避けたい習慣)

避けたい習慣

  • パスワードを付箋やメモに書いてモニターに貼る
  • 「password」「会社名+123」など推測されやすいもの
  • 全サービスで同じ、または少し変えただけのパスワード
  • 退職者のアカウントを使わないまま放置する

 どれもありがちですが、いずれも不正ログインの入口になります。総務省も、初心者向けの三原則の一つに「強固なパスワードの設定と多要素認証を活用しよう」を挙げています(出典:総務省)。

まず何から?(まとめ)

 一度に完璧を目指す必要はありません。順番はシンプルです——まず①いちばん大事なアカウント(メール・ネットバンキング)から多要素認証をかける、次に②使い回しているパスワードを、管理ツールかコアパスワード方式で分けていく。ここまでで、不正ログインのリスクは大きく下げられます。

 「自社は何から手をつけるべきか」を整理したい方は、情報処理安全確保支援士が30分の無料相談でご案内します。あわせて、Webサイト側の弱点(なりすましメール対策やHTTPSなど)は、中小企業のセキュリティ診断とは?無料でできるチェック項目と進め方の無料診断でも確認できます。

参考・出典: 総務省「国民のためのサイバーセキュリティサイト(安全なパスワード管理)」(総務省)/総務省「サイバーセキュリティ初心者のための三原則」(総務省)/IPA「不正ログイン対策特集ページ」(IPA
・パスキー/証券会社の必須化:金融庁「金融商品取引業者等向けの総合的な監督指針 等の一部改正」(2025年10月15日、金融庁)/日本証券業協会「不正アクセス等にご注意ください」(日本証券業協会)/FIDO Alliance「How FIDO Works」(FIDO Alliance

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

ソフトバンク株式会社で100社以上のネットワーク・セキュリティ支援、株式会社セブン&アイ・ホールディングス DX本部を経て、株式会社MintSparkを設立。情報処理安全確保支援士(登録番号 第004395号)。中小企業のIT/DX・セキュリティと、小規模店舗のMEO対策を現場目線で支援しています。

目次