Microsoft 365 2026年3月7日

共有メールボックスのパスワードを複数人で共有していませんか？正しい運用への移行ガイド

「info@のパスワードは社内Wikiに書いてあります」「support@は経理の田中さんと営業の佐藤さんが同じパスワードで使っています」——驚くほど多くの企業で、こうしたパスワード共有が当たり前のように行われています。

これは明確なセキュリティリスクであり、今すぐ改善すべき運用です。

パスワード共有の5つのリスク

1. 退職者のアクセスが残り続ける。 パスワードを知っている退職者が、退職後もinfo@にログインしてメールを閲覧できる状態が続く。パスワードを変更しても、「変更を全員に周知する」運用が必要になり、負荷が高い。

2. 誰がいつ何をしたかわからない。 全員が同じアカウントでサインインするため、監査ログで「誰が」メールを送信・閲覧したかを特定できない。

3. MFAが機能しない。 共有パスワードの環境ではMFAの設定が実質的に不可能（全員が同じ認証デバイスを共有することになる）。

4. パスワードの漏えいリスク。 パスワードがWiki、チャット、付箋に記載されている状態は、第三者に漏えいするリスクが極めて高い。

5. コンプライアンス違反。 ISMS、Pマーク、取引先のセキュリティ監査で「共有アカウントのパスワード共有」は不適合事項になります。

Exchange Onlineの共有メールボックスは、パスワード共有なしで複数人がメールを共有するための仕組みです。

共有メールボックスの仕組み： 共有メールボックスには直接サインインしません。アクセス権を持つユーザーが、自分のOutlookから共有メールボックスを開いて利用します。各ユーザーは自分のアカウント（自分のパスワード、自分のMFA）でサインインするため、パスワードの共有は不要です。

監査対応： 誰がいつ共有メールボックスのメールを操作したかは、各ユーザーのサインインログで追跡可能です。

ライセンスコスト： 50GB以下の共有メールボックスにはライセンス不要。パスワード共有用に作成していた通常ユーザーアカウントのライセンスを削減できます。

パスワードが共有されているアカウントの一覧を作成します。info@、support@、sales@など、複数人で使っているメールアドレスを洗い出します。

Exchange管理センターで、既存のユーザーメールボックスを共有メールボックスに変換できます。「受信者」→対象メールボックスを選択→「メールボックスの種類を変更」→「共有メールボックス」を選択。

変換後、メールボックス内の既存メールはすべて保持されます。メールアドレスも変わりません。

共有メールボックスを利用するユーザーに「フルアクセス」と「送信者として送信（Send As）」の権限を付与します。

共有メールボックスに変換後、そのアカウントのサインインをブロックします。共有メールボックスは直接サインインする必要がないため、サインインをブロックしても運用に影響しません。これにより、旧パスワードでのログインが完全に遮断されます。

共有メールボックス（50GB以下）にはライセンスが不要なため、割り当てていたライセンスを解放し、コスト削減につなげます。

「info@は共有メールボックスに変更しました。今後は自分のOutlookから開いてください。パスワードの共有は廃止します」と関係者に周知します。

パスワード共有は「楽だから」続けている運用ですが、セキュリティ、監査、コンプライアンスのすべてにおいてリスクが高い状態です。Exchange Onlineの共有メールボックスへの移行は、既存メールを保持したまま、追加コストなし（ライセンス削減も可能）で実現でき、移行のハードルは低いです。

情シス365では、共有メールボックスへの移行支援を行っています。お気軽にご相談ください。