わたしも以前は同じように思っていました。ChromeでWebサービスにログインするたびに「パスワードを保存しますか?」と聞かれ、素直に「はい」を押し続けて、気づいたら200件以上のパスワードをGoogleに預けていました。
使い勝手は悪くないし、Androidスマホにも同期されるし、わざわざ別アプリを入れる必要もない。
ただよくよくGoogleパスワードマネージャーについて調べてみると、最近のパスワードまねーじゃー・パスワード管理ソフトでは当たり前になっているゼロ知識暗号化技術が使われていないことがわかりました。
具体的には、
「だから危険なのか」という話ではありませんが、一定のリスクがあることを正しく認識する必要性があります。
この記事ではGoogleパスワードマネージャーの安全性を技術的な観点から正直に評価し、どんな人には向いていて、どんな人は乗り換えを検討すべきかをまとめています。
この記事でわかること
- Googleパスワードマネージャーの「安全」と「不安全」の境界線
- ゼロ知識設計とは何か、なぜ重要なのか
- Google PMが向いている人・向いていない人の判断基準
- NordPass・Bitwardenへの乗り換え手順(3ステップ)
Googleパスワードマネージャーとは
GoogleパスワードマネージャーとはChromeブラウザとAndroid/iOSに内蔵されたパスワード管理機能で、Googleアカウントに紐づけてパスワードを保存・同期できる無料のサービスです。
2023年以降は独立したWebアプリとしても利用できるようになり、Chrome以外の場面からもパスワードを確認・管理できるようになっています。
完全無料で、Googleアカウントさえあれば追加インストール不要で利用可能です。
これが最大の強みですが、同時に「Googleアカウントに依存している」という性質上の制約にもなっています。
Googleパスワードマネージャーは一定のリスクがある
先に結論を書いておきます。
Googleパスワードマネージャーは、「何もしないよりはるかに安全」です。パスワードの使い回しが最大のリスクである現状では、無料で使えるGoogleパスワードマネージャーであっても、積極的に活用する価値は十分あります。
ただし、セキュリティを真剣に考えるなら、NordPassやBitwardenのような専用アプリには及ばない、というのが正直な評価です。その理由を、以下で詳しく説明します。
安全性を決める5つの評価ポイント
①暗号化方式とゼロ知識設計の問題
Google PMはAES-256という強力な暗号化方式でデータを保護しています。これは軍事レベルのセキュリティ基準で、暗号化自体は問題ありません。
問題は「誰が暗号キーを持っているか」です。
NordPassやBitwardenなどはゼロ知識設計(Zero-Knowledge Architecture)を採用しており、暗号キーはユーザーのデバイスで生成・管理されます。サービス提供側のサーバーには暗号化済みデータしか届かず、会社側でさえ中身を見ることができません。
一方、Googleパスワードマネージャーはこの設計を採用していません。Googleのサーバーには復号に必要な情報も保存されており、Googleは技術的にあなたのパスワードを復号できる状態にあります。
②Googleアカウント一点集中のリスク
Google パスワードマネージャーを使うということは、あなたのすべてのパスワードの鍵をGoogleアカウントに預けることを意味します。
パスワードを盗まれるとき、攻撃者の最も狙いやすいターゲットは「パスワードをまとめて入手できる場所」です。Googleアカウントが乗っ取られた場合、Gmail・Google ドライブ・YouTube・Googleフォトに加えて、保存されているすべてのパスワードも一度に流出します。
「鍵と金庫が同じ場所にある」状態です。
専用パスワードマネージャーはGoogleアカウントとは独立した別のサービスなので、Googleアカウントが侵害されてもパスワードデータベースは守られます。
③ブラウザ・プラットフォームの制限
Googleパスワードマネージャーは、Chromeブラウザ(またはAndroid/iOS上のGoogle自動入力)以外では自動入力が機能しません。
なお、表のGoogle PMはGoogleパスワードマネージャーを意味しています。
| 環境 | Google PM | NordPass |
|---|---|---|
| Chrome(Windows/Mac) | ○ | ○ |
| Firefox(Windows/Mac) | ❌ | ○ |
| Safari(Mac/iOS) | △(要設定) | ○ |
| Edge(Windows) | ❌ | ○ |
| Windowsアプリ(非ブラウザ) | ❌ | ○ |
| Macアプリ(非ブラウザ) | ❌ | ○ |
職場でFirefoxやEdgeを使っている方、MacでSafariを使っている方にとっては、Google パスワードマネージャーだけでは自動入力が完結しません。
④第三者セキュリティ監査の透明性
セキュリティの世界では、「自称安全」より「第三者に検証された安全」が重要です。
NordPassは毎年、独立したセキュリティ企業による監査を実施し、結果を公開しています。Bitwardenも同様に第三者監査を定期的に行っています。
Googleはセキュリティ全般への投資は世界有数ですが、Googleパスワードマネージャー単体の第三者監査レポートは公開していません。
⑤ブラウザ本体の脆弱性リスク
Google PMのパスワードはChromeブラウザのプロセスと密接に連動しています。2024年だけでも、ChromeにはCVE登録された重大なゼロデイ脆弱性が複数件報告されており、ブラウザが侵害された場合にパスワードデータにアクセスされるリスクがあります。
とはいえ、流石にその点はGoogleも考えており、専用パスワードマネージャーは独立したプロセスで動作するため、ブラウザの脆弱性の影響を受けにくい設計になっています。
Google PMとNordPass・Bitwardenの比較表
以下にGoogleパスワードマネージャー(Google PM)と、他のパスワードマネージャーである NordPass や Bitwardenとの比較を載せておきます。
| 評価項目 | Google PM | NordPass | Bitwarden |
|---|---|---|---|
| ゼロ知識設計 | ❌ なし | ○ あり | ○ あり |
| 暗号化キーの管理 | Google管理 | ユーザー側 | ユーザー側 |
| 第三者セキュリティ監査 | 非公開 | 毎年公開 | 毎年公開 |
| 対応ブラウザ | Chrome のみ | 全主要ブラウザ | 全主要ブラウザ |
| デスクトップアプリ | ❌ なし | ○ あり | ○ あり |
| Google依存リスク | 高い | なし | なし |
| パスワード健全性チェック | ○ あり | ○ あり | ○ あり |
| 無料プラン | 完全無料 | ○ あり | ほぼ完全無料 |
| 有料プラン月額 | — | 約300円〜 | 約130円〜 |
NordPassへの乗り換え手順
乗り換えと聞くと大変そうに思えますが、実際は30分もあれば完了します。
ステップ1:ChromeからパスワードをCSVエクスポートする
パソコンのChromeを開き、アドレスバーに chrome://password-manager/passwords と入力してGoogleパスワードマネージャーを開きます。右上の設定アイコン(⚙)をクリックし、「パスワードをエクスポート」を選択します。Googleアカウントのパスワード認証後、CSVファイルがダウンロードされます。
ステップ2:NordPassアカウントを作成する
NordPassの公式サイト(下のボタンから)でアカウントを作成します。無料プランで始めることができ、クレジットカードの登録は不要です。アカウント作成時に設定するマスターパスワードは厳重に管理してください——これだけはNordPassも知ることができない情報です。
ステップ3:CSVファイルをNordPassにインポートする
NordPassブラウザ拡張機能を開き、「設定」→「インポート」→「Google Chromeからインポート」を選択します。先ほどのCSVファイルを選択すれば、すべてのパスワードが一括でNordPassに移行されます。
インポート完了後は、先ほど書いたようにCSVファイルを確実に削除してください。
よくある質問
最後にGoogleパスワードマネージャーに関連するよくある質問を以下にまとめておきます。
グーグルのパスワードマネージャーは安全ですか?
日常的なパスワード管理として使う分には「危険」ではありません。ただし、ゼロ知識設計を採用していないため、Googleが技術的にパスワードにアクセスできる状態にあること、Googleアカウントへの依存度が高いことは把握した上で使う必要があります。セキュリティをより重視するなら、NordPassやBitwardenへの移行を検討することをおすすめします。
Chromeでパスワードを保存するのは危険ですか?
「危険」というよりも「最善ではない」と表現するのが正確です。パスワードの使い回しより安全であることは間違いありません。ただしChrome(=Googleアカウント)が乗っ取られると、保存したすべてのパスワードも同時に漏洩するリスクがあります。2段階認証の設定を必ずおこなってください。
Google PMとNordPassの最大の違いは何ですか?
最大の違いはゼロ知識設計の有無です。NordPassはサービス提供側でさえパスワードを復号できない設計になっており、万が一NordPassのサーバーが侵害されても、暗号化されたデータしか流出しません。Google PMはこの設計を採用していません。また、NordPassはChrome以外のブラウザでも動作します。
Googleパスワードマネージャーは無料ですか?
はい、完全無料です。Googleアカウントがあれば追加費用なしで利用できます。一方NordPassも無料プランがあり、1台のデバイスでパスワードを無制限に保存できます。複数デバイスでの同時同期が必要な場合は有料プランが必要です(月額約300円〜)。
まとめ
Googleパスワードマネージャーの安全性について、正直な評価を以下の表にまとめておきます。
| 項目 | 評価 |
|---|---|
| パスワード使い回しよりは安全か | はい。積極的に使う価値あり |
| ゼロ知識設計か | いいえ。Googleが暗号キーを管理している |
| 全ブラウザで使えるか | いいえ。Chrome限定(Safari/Firefox非対応) |
| Googleアカウントが侵害されたとき | パスワードも同時に漏洩するリスクあり |
| 金融・機密情報の保管 | 専用アプリの方が設計上安全 |
Google パスワードマネージャーは「入門」として優れたサービスです。しかし、パスワード管理をより本格的に考えるなら、ゼロ知識設計を採用した専用アプリへの移行が理にかなっています。
NordPassは無料プランから始められ、乗り換えの敷居も低い選択肢です。データ移行はCSVを使って30分程度で完了します。
「何もしないよりはGoogleで十分」は正しい。でも「セキュリティの観点から最善を選ぶ」なら、今日から変えられます。
おすすめの記事もあわせてどうぞ:
コメント