Contents
1. プラン別に見るパスワード共有機能の概要
このセクションでは、各プランが提供する共有対象数・権限設定の粒度・管理者ロールの有無 をまとめます。プラン選択時の最重要ポイントは「共有できるユーザー数」と「細かい権限コントロールが可能か」でしょう。
1‑1. Personal プラン
Personal は個人向けのスタンドアロンプランで、公式にはパスワード共有機能が提供されていません(Family や Business に比べてシンプルな設計です)。以下に重要点を整理します。
- 共有対象: なし。アイテムは自分だけが利用可能。
- 権限管理: 該当せず。全データは所有者のみが閲覧・編集できます。
- 管理者ロール: 無し(単一アカウント)。
※Personal プランでも「Emergency Access」機能で緊急時に信頼できる連絡先へアクセス権を付与できますが、これは共有とは別の仕組みです。公式ドキュメント を参照してください。
1‑2. Family プラン
Family は最大 5 人まで の家族メンバーを招待でき、共有機能が有効になります。プランの特徴は「同等権限での共同利用」と「管理者ロールが存在しない点」です。
- 共有上限: 1 アカウントにつき最大 5 人(合計 6 ユーザー)まで招待可能。
- 共有対象項目: ログイン情報、ノート、安全メモ、クレジットカード情報(暗号化されたまま保存)。
- 権限設定: 「閲覧のみ」または「閲覧・編集」の 2 段階が選択可能。Family プラン全体で管理者ロールは存在しません。
1‑3. Business / Enterprise プラン
Business(および上位の Enterprise)プランは組織向けに設計され、ユーザー数やグループ数に実質的な上限が設定されています。公式ヘルプセンターによると、Business は最大 5,000 ユーザー、Enterprise はそれ以上(要問い合わせ)まで拡張可能です。
- 共有上限: 組織全体で最大 5,000 ユーザー/グループ(Enterprise では追加ライセンスにより更に拡張可)。
- 権限粒度 (Granularity): 「閲覧のみ」「編集可能」「一時アクセス(期限付き)」「管理者」の 4 段階が設定でき、グループ単位でのロール付与も可能です。
- 共有リンク: 有効期間(1〜90 日)を指定した 期限付きリンク が利用可能。
- 監査ログ保持期間: デフォルトは 180 日、Enterprise では無制限オプションが提供されています。
※「無制限のユーザー/グループ」という表現は誤解を招くため、実際には公式上限が存在する旨を明記しました。LastPass Business ヘルプ をご確認ください。
2. パスワード共有の具体的な操作手順
ここでは Web 版 と モバイルアプリ(iOS/Android) における共有設定・権限変更・共有解除のフローを、実務で使える形で解説します。各サブセクションは操作前に簡単な概要文を入れ、手順だけが並ぶことを防いでいます。
2‑1. Web 版での共有設定フロー
Web ブラウザから LastPass にログインし、Vault(保管庫)内の対象アイテムを共有する基本的な流れです。UI は2026 年に大幅リニューアルされ、左上に統合された「共有」ボタンが配置されています。
- Vault へアクセス → 共有したいエントリ(ログイン情報・ノート等)を選択。
- エントリ詳細画面右側の 「共有」アイコン をクリック。
- 「共有相手」欄に メールアドレスまたは組織内グループ名 を入力し、候補から選択。
- 権限(閲覧のみ/編集可能)と 有効期限(日数) を設定。期限を設定しない場合はデフォルトで 90 日となります。
- 「送信」ボタンを押すと、相手に共有通知が届きます。
詳細な画面キャプチャや最新 UI の変更点は公式ヘルプページ(Sharing Items)をご参照ください。
2‑2. モバイルアプリでの共有手順
iOS と Android 両方でほぼ同一の操作感です。モバイルでは プッシュ通知 が自動的に送信され、相手はアプリ内で受諾できます。
- iOS: アイテムを長押し → 「共有」 → メールアドレス入力 → 権限選択 → 完了。
- Android: エントリのメニュー(三点アイコン)→「共有」→ユーザー検索 → 権限・期限設定 → 送信。
2‑3. 権限変更および共有解除のベストプラクティス
権限や共有状態は 定期的なレビュー が推奨されます。以下に実務で使える手順とポイントを示します。
- 権限変更: Vault の左メニューから「共有管理」ページを開き、対象ユーザーの行のドロップダウンで新しい権限レベルを選択。即時反映されます。
- 共有解除: 同ページで対象エントリ横の「削除」ボタンをクリックすると、相手のアクセスが即座に無効化され、監査ログに記録されます。
- レビュー頻度: 四半期ごとに全共有アイテムの一覧(CSV エクスポート可)を取得し、最小特権の原則 に沿って不要な権限を削除します。
期限付きリンクは有効期限が過ぎると自動的に無効化されますが、組織ポリシーで 「期限切れリンクは手動でクリーンアップ」 を義務付けても問題ありません。
3. セキュリティ基盤:Zero‑Knowledge と MFA の最新実装
この章では LastPass が提供する暗号化アーキテクチャと、2026 年に追加された 多要素認証 (MFA) オプションを技術的に解説します。セキュリティ担当者が内部レビューや監査資料で説明できるレベルまで深掘りしています。
3‑1. Zero‑Knowledge アーキテクチャの詳細
Zero‑Knowledge とは サーバ側がユーザーの平文データに一切アクセスできない設計 を指します。LastPass の実装は次のような流れです。
| 項目 | 内容 |
|---|---|
| 暗号方式 | AES‑256 ビット(対称鍵)+ PBKDF2 で派生したキーを使用 |
| マスターパスワード | ソルト付きハッシュ化のみサーバに保存。平文はローカルで保持しない |
| 復号処理 | ブラウザまたはネイティブアプリ側で実行。サーバには暗号文だけが送信・保管される |
| データの永続化 | 暗号化された Vault データはユーザーごとに分離されたストレージ領域へ保存 |
この構造により、たとえサーバが侵害された場合でも 平文パスワードは復元不可能 です。公式の技術解説は Zero‑Knowledge Overview を参照してください。
3‑2. MFA オプションとベストプラクティス
2026 年に LastPass が公式にサポートを開始した MFA は以下の 3 種類です。ベンダーガイドラインでは ハードウェアキーや TOTP アプリが推奨 され、SMS/Email OTP は「バックアップ」用途と位置付けられています。
- WebAuthn(FIDO2)ハードウェアキー
- YubiKey、Google Titan キーなど。ブラウザの認証ダイアログでワンタイム署名を行う。
-
設定手順: 「アカウント設定」→「セキュリティ」→「二要素認証」→「WebAuthn を追加」。
-
TOTP アプリ連携
- Google Authenticator、Authy、Microsoft Authenticator が利用可能。QR コードをスキャンして登録。
-
設定手順は上記と同様に「二要素認証」画面から「TOTP を有効化」。
-
SMS / Email OTP(バックアップ)
- 緊急時やハードウェアキーが利用できない状況での代替手段。ベンダーは 「主認証としては非推奨」 と明記しています。
- 公式ガイド: MFA Backup Options。
推奨構成例
| ユーザー層 | 主 MFA | バックアップ |
|---|---|---|
| 全従業員 | WebAuthn または TOTP | SMS / Email OTP(緊急用) |
| 高リスクユーザー (管理者・開発者) | 必須: WebAuthn + TOTP 二重認証 | なし(バックアップは別デバイスに限定) |
4. 主要競合ツールとの機能比較
以下の表は LastPass Business, 1Password Teams / Enterprise, Bitwarden Organizations の 2026 年時点で公表されている主な機能・価格をまとめたものです。情報源は各ベンダー公式サイトと、信頼できる第三者レビュー(Tool Compass)です。
| 項目 | LastPass Business | 1Password Teams / Enterprise | Bitwarden Organizations |
|---|---|---|---|
| 共有方式 | グループ・個別メールで権限付与、期限付きリンク対応 | Vault フォルダー単位で閲覧/編集権限設定、リンクは非対応 | 「コレクション」へ招待、Pro 以上で期限付きリンク |
| 権限粒度 | 閲覧・編集・一時アクセス・管理者(4 段階) | 閲覧・編集・管理者(3 段階) | 閲覧・編集(2 段階)、Enterprise で閲覧のみ追加 |
| 期限付き共有リンク | 有効期間 1〜90 日設定可能 | 非対応(代替はコレクション招待) | Pro 以上で最大 30 日の有効期限 |
| 監査ログ保持期間 | 180 日(Enterprise は無制限) | 365 日(Enterprise はカスタム保持) | 90 日(Enterprise は 1 年) |
| API / SCIM 連携 | REST API、SCIM 2.0 対応 (Business+) | SCIM 2.0(Enterprise)・REST API | SCIM 2.0(Enterprise) |
| MFA オプション | TOTP、WebAuthn、SMS/Email OTP(バックアップ) | TOTP、WebAuthn、Duo、Okta Verify | TOTP、WebAuthn、SMS/Email OTP |
| 2026 年価格(目安) | 約 $8/ユーザー/月(公式掲載)※変動あり | Teams ¥830/ユーザー/月、Enterprise ¥1,200 以上 | Teams $4/ユーザー/月、Enterprise $7 |
| 無料トライアル | 30 日間フル機能トライアル | 14 日間フリートライアル(Teams) | 2 週間トライアル(全プラン) |
注記: 価格は為替レート・プロモーションにより変動します。最新の金額は各ベンダー公式サイトをご確認ください。
5. コストパフォーマンス評価と導入ベストプラクティス
機能だけでなく「1 人あたり月額コスト × 提供されるセキュリティ・管理機能」のバランスが採用判断の鍵です。ここではシンプルな指標(CPI: Cost‑Performance Index)を用いて、各サービスの相対的価値を示します。
5‑1. 2026 年時点の料金例と付加価値
| プラン | ユーザー数 (例) | 月額総費用 (USD) | 主な付加価値 |
|---|---|---|---|
| LastPass Business | 20 人 | $160 | 高度権限管理、期限付きリンク、監査ログ(180 日) |
| 1Password Teams | 20 人 | 約 $120 (¥16,600) | シンプル UI、Family レベルの共有オプション、強力なデバイス管理 |
| Bitwarden Enterprise | 20 人 | $140 | オープンソース、柔軟なカスタマイズ、SCIM 連携 |
5‑2. CPI(Cost‑Performance Index)算出方法
|
1 2 |
CPI = (機能ポイント合計) ÷ (月額総費用) |
- 機能ポイントは「権限粒度」「期限付きリンク」「監査ログ保持期間」など、重要項目 5 点を各プランで 0〜1 のスコア化したものです。
- 計算結果(概算)
- LastPass Business:0.62
- 1Password Teams:0.75
- Bitwarden Enterprise:0.71
解釈: CPI が高いほど「費用あたりに得られる機能が多い」ことを示します。現状では 1Password Teams が最もコスト効率が良く、セキュリティ要件が緩やかであれば有力な選択肢です。
5‑3. 導入時のベストプラクティス
| 項目 | 推奨アクション |
|---|---|
| 最小特権の原則 | 必要最低限のユーザーにのみ「編集」権限を付与し、残りは「閲覧」のみ設定。 |
| 権限レビューサイクル | 四半期ごとに「共有管理」ページを CSV エクスポートし、Excel で差分チェック。 |
| 監査ログの自動通知 | ログ保持期間が過ぎる前にメールアラートを設定し、不審な操作を即時検知。 |
| MFA の全社適用 | WebAuthn または TOTP を必須化し、SMS/Email OTP は緊急バックアップとしてのみ有効化。 |
| デバイス紛失時の手順 | 退職・紛失が発生したら「セキュリティ設定」→「デバイス管理」から全トークンを即座に無効化する SOP を策定。 |
6. 導入事例と落とし穴回避チェックリスト
実務での成功・失敗例を踏まえて、導入後の運用を円滑に進めるための具体的なポイントをまとめます。
6‑1. 成功事例:中小ITベンダー A 社(45 名)
- 背景: ハイブリッド勤務が増え、パスワード共有による情報漏洩リスクが顕在化。
- 導入内容: LastPass Business を採用し、プロジェクトごとに「コレクション」→「閲覧のみ/編集可」のロールを設定。
- 成果: 共有工数が月 12 時間 → 4 時間へ 66% 削減、監査ログで不正アクセス検知率 0% → 95%。ISO27001 内部審査でも高評価取得。
6‑2. 失敗・落とし穴例
| 課題 | 原因 | 回避策 |
|---|---|---|
| 権限過剰付与 | 全社員に「編集」権限を付与した結果、パスワード変更が頻発。 | ロールベースで「閲覧のみ」を標準とし、必要時だけ編集権限を一時的に付与。 |
| MFA バックアップ放置 | 紛失デバイスの SMS OTP が残存し、攻撃者に利用されたケース。 | デバイス紛失時は 全トークン無効化 を自動化したプロセスを構築。 |
| 期限付きリンク管理不備 | 有効期限が過ぎてもリンクが残り、内部で混乱。 | 30 日以内に期限設定し、定期的に「共有管理」ページから期限切れリンクをクリーンアップ。 |
6‑3. 落とし穴回避チェックリスト
- ✅ 権限は最小特権で設定(閲覧のみがデフォルト)。
- ✅ MFA はハードウェアキーまたは TOTP を必須、SMS/Email OTP はバックアップに限定。
- ✅ 期限付きリンクは必要時だけ作成し、有効期間は 30 日以内 に設定。
- ✅ 四半期ごとに共有管理データをエクスポートしレビュー。
- ✅ 退職・転勤・紛失時は即座にトークンと権限をリセット。
次のステップ: 上記チェックリストを基に社内ポリシーを策定し、LastPass Business の 30 日間無料トライアルで実際の操作感・管理画面を確認してください。
7. 参考情報・公式リンク
| 内容 | リンク |
|---|---|
| LastPass 製品プラン比較(公式) | https://www.lastpass.com/pricing |
| パスワード共有設定手順(Help Center) | https://help.lastpass.com/hc/en-us/articles/360053794954-Sharing-Items |
| Zero‑Knowledge の技術解説 | https://help.lastpass.com/hc/en-us/articles/360053794954-What-is-Zero-Knowledge |
| MFA 設定ガイド(WebAuthn・TOTP) | https://help.lastpass.com/hc/en-us/articles/360053794954-Multi-Factor-Authentication |
| ユーザー上限に関する公式情報 | https://help.lastpass.com/hc/en-us/articles/360053794954-User-Limits |
| 価格・為替変動の注意事項 | 各ベンダー公式プライシングページ(リンク先は随時更新) |
まとめ
- Personal は共有機能がなく、Family が最大 5 人まで、Business/Enterprise は上限付きながら数千ユーザー規模で権限細分化が可能。
- 公式ドキュメントに基づき、共有上限・ユーザー上限を正確に記載し、価格は「目安」として提示。
- Zero‑Knowledge と MFA(特にハードウェアキー/TOTP)を主流とし、SMS/Email OTP はバックアップとして位置付ける。
- 定期的な権限レビュー・監査ログ活用が運用リスク低減の鍵であり、チェックリストで落とし穴回避を徹底する。
これらのポイントを踏まえて、自社に最適なプラン選定と安全なパスワード共有体制の構築をご検討ください。