中小企業の働き方は大きく変わり、その変化は元に戻りません。そして、攻撃のされ方も同様に変わっています。チームは分散し、SaaSツールが給与計算からプロジェクト管理までを担い、請負業者やベンダーも定期的にシステムへの出入りを繰り返しています。新しいツールやアクセス権を持つ従業員が増えるたびに、潜在的な侵入口の数も増えていきます。
このように攻撃対象領域が拡大することが重要なのは、フィッシング、アカウント乗っ取り、パスワード窃取を含む認証情報ベースの攻撃が、企業が侵害される最も一般的な経路の一つになっているからです。こうした攻撃が成立するのは、アクセスが広範に拡散し、追跡が難しくなっているためにほかなりません。今や攻撃者は、有効な認証情報の組み合わせを1つ見つけるだけで、自社の防御を突破できてしまいます。
この状況では、中小企業の半数超がビジネス向けパスワードマネージャーを利用しているのは、本来心強いはずです。しかし、意思決定者3,000人を対象とした世界規模の調査であるProtonのSMB Cybersecurity Report 2026によると、それでも4社に1社が昨年、侵害を経験していました。A0
これらすべては、ツールの導入と実際の使われ方のあいだにギャップがあることを示しています。
現在、SMBがパスワードマネージャーをどう使っているか
ほとんどのパスワードマネージャーは、1つのことをうまくこなすように設計されています。つまり、パスワードを覚えるのを助けることです。実際には、複雑で一意のパスワードを作成し、それを暗号化済みの保管庫で管理することを意味します。これは、同じ認証情報を複数のアカウントやプラットフォームで使い回すという一般的なやり方より、はるかに優れています。
しかし、パスワードが攻撃者にとって最も容易な侵入口である以上、SMBには、記憶や利便性の問題を解決するだけではない役割をパスワードマネージャーに求める必要があります。アクセスを保護するために、パスワードマネージャーが必要なのです。
アクセスは、はるかに広い問題です。適切な人が適切な認証情報を持っているでしょうか。そして、その認証情報で何にアクセスできるのか、あるいはそれが誤った手に渡った場合にどうなるのかを把握できているでしょうか。 さらに、チームが拡大し、サブスクリプションが積み重なり、請負業者の出入りが続くにつれて、組織の検討事項も、単にパスワードを強化することから、現実のセキュリティ脅威まで考慮に入れることへと移る必要があります。
大半の企業は、何か問題が起きるまでその転換を行いません。
パスワードマネージャーの導入でつまずくポイント
本レポートの重要な示唆は、パスワードマネージャーを導入している企業でも、それを一貫して使えていないという点です。
安全でない認証情報の共有は、今なお驚くほど高い割合で続いています:
- 33%が共有ドキュメントまたはスプレッドシートで認証情報を共有
- 30%がメールで認証情報を共有
- 27%がメッセージングアプリで認証情報を共有
- 25%が書き留めている
- 24%が口頭で共有
これは、忙しい人々がその場で最も手早い方法を選んでいる実態を示しています。パスワードマネージャーのアプリに切り替えて、本来あるべき保管庫で新しい認証情報を共有する代わりに、Slackやメールに貼り付けてしまうことがあります。
こうした回避策は、個別に見れば無害に思えます。しかし時間がたつと、認証情報は受信トレイ、チャット履歴、共有ドキュメントに散在し、整理が極めて難しくなります。従業員が退職しても、後からアクセスを失効させることはできません。さらに、データ侵害の発生後に即座にパスワードを更新することも、それらが一元化された安全な場所に保管されていない限り不可能になります。
セキュリティポリシーの徹底に向けた研修は役立ちますが、調査の結果、それだけでは十分ではないことが分かりました…
なぜセキュリティ意識向上研修だけでは不十分なのか
本レポートでは、SMBの39%が人的エラーによるセキュリティインシデントを経験していることが分かりました。この統計は誤って受け取りやすく、つい「従業員がより注意深くなれば、インシデントは減る」と考えがちです。
しかし、この捉え方では重要な点が抜け落ちています。日常業務のプレッシャーの中で完璧な行動を前提とするセキュリティシステムは、必ず現実に裏切られます。 ミスが起きるのは、人々の意識が低いからではありません。安全な選択肢のほうが、一般的なSMBにとって負担しきれないほど多くの手間と時間を求めることが多いからです。善意で動くチームであっても、リソースが逼迫すれば回避策を探すようになります。
持続的な解決策は、研修を増やすことではありません。安全な選択肢が、そのまま最も簡単な選択肢にもなるようなシステムを設計することです。
アクセスを安全に共有する手間が、チャットメッセージにパスワードを貼り付けるのと変わらなければ、人はその方法を使います。A0
アクセスの問題が制御不能になるとき
チームが拡大するにつれ、認証情報の問題はさらに深刻化します。
現在、SMBの86%が日々の業務をクラウドベースのサービスに依存しています。これは通常、認証情報がプロジェクト管理ツール、財務プラットフォーム、マーケティングソフトウェア、ファイルストレージ、顧客システムなどに広く散在していることを意味し、それぞれが独自の権限設定とアクセス履歴を持っています。
アクセスはシステム間に散らばるだけではありません。組織全体にも広がり、チーム、外部パートナー、請負業者、さらには今なおアクセス手段を保持している可能性のある元従業員の間を行き来します。
つまり現実には、認証情報は蓄積し、古いアクセスは残り続け、最も機密性の高いシステムの鍵を持っている、あるいは過去に持っていた人の数は、簡単には追跡できない規模まで膨らんでいきます。
ツールがあることと守られていることは同じではありません
昨年侵害を経験したSMBも、手を抜いていたわけではありません。92%はセキュリティツールに積極的に投資していました。パスワードマネージャー、暗号化済みメール、研修プログラム、文書化されたポリシーも整備されていました。言い換えれば、紙の上では堅実なセットアップに見えていたのです。
多くの企業に欠けていたのは、一貫した運用の徹底でした。多要素認証(MFA)は有効化されていても必須ではなく、パスワードマネージャーはデプロイされていても日常的な習慣に組み込まれておらず、オンボーディングとオフボーディングのプロセスも体系的ではなく非公式に処理されていました。ブラウザのパスワードマネージャーの人気を踏まえると、多くの企業は中央集約型のチーム用プラットフォームすら使っておらず、代わりに安全性の低い複数の選択肢を個人単位で寄せ集めて運用していた可能性があります。
こうした一つひとつは小さな隙間であり、問題になるまでは見えないままです。
セキュリティセットアップを本当に測る基準は、導入ツールの一覧ではありません。人々が実際に働く日常のプレッシャーの中で、それらのツールが機能し続けられるかどうかです。
こうした現実に自社の運用を近づけるために役立つ実践策を、いくつかご紹介します。
- チーム向けに作られたパスワードマネージャーを使用しましょう。 ブラウザのパスワードマネージャーは安全性が低いだけでなく、アカウントを完全に管理するために管理者が必要とする管理ツールも備えていません。使いやすいエンタープライズ向けパスワードマネージャーでなければ、十分ではありません。
- 現在、誰が何にアクセスできるかを監査しましょう。 最も機密性の高いツールのユーザー一覧を確認し、予想外の名前が含まれていないかを確認してください。
- 共有ログインを個別のアカウントに置き換えましょう。 パスワードマネージャーではログイン情報の共有は簡単ですが、ベストプラクティスではありません。共有ログインはアカウント単位での可視性を下げ、侵害を特定して対応することを難しくします。
- 多要素認証を必須にしましょう。 MFAは利用可能な保護策の中でも特に効果的なものの1つですが、任意の設定のままではなく、デフォルトで強制されている場合に限ります。
- オフボーディングを仕組み化しましょう。 従業員、契約社員、ベンダーのいずれであっても、退職や契約終了があれば、後回しにするのではなく直ちにアクセスの見直しを行うべきです。
主要6市場のビジネスリーダー3,000人を対象にした当社の調査から、ほかに何がわかるのか知りたいですか? 詳しくはSMB Cybersecurity Report 2026をご覧ください。侵害の原因と実際のコスト、ヒューマンエラーが最も多く発生する場面、クラウドとAIの導入によってどのような新たな死角が生まれているかを学べます。さらに、実際の運用環境でも有効な保護強化のための実践的なステップも紹介しています。
