本文へスキップ
>_ITDITDセキュリティ対策プラットフォーム

学習

#セキュリティ基礎#パスワード管理#シークレット管理#MFA

パスワードをGoogleドライブに保存するのは安全?正しい保管方法

サイトやアカウントのパスワードを、Googleドライブのドキュメントやスプレッドシートにまとめて保存していませんか。平文での一覧保存がなぜ危険か(Googleアカウント1つが全パスワードの単一障害点になる)、暗号化済みの管理ファイルなら何が違うか、専用パスワードマネージャという正解までを、当サイトの運用視点で解説します。

公開日 2026-06-11 更新日 2026-06-11 9分で読める

対象:サイトの管理画面やアカウントのパスワードを、Googleドライブのドキュメントやスプレッドシートにまとめて保存している人。「これって安全?」という素朴な疑問に、正直に答えます。ここでは攻撃手順は扱わず、安全な保管のしかただけを扱います。

当サイトの視点:問題は『Driveを使うこと』ではなく『平文であること』

よくある誤解は「クラウドに置くのが悪い」です。違います。本当の問題は平文で一覧にしてあること。暗号化済みのパスワード管理ファイル(例:KeePassの.kdbx)をDriveで同期するのは、世界中で普通に行われている安全なやり方です——ファイルはマスターパスワードという鍵がなければただの暗号文だからです。逆に、いくら厳重なGoogleアカウントでも、中身が平文の表なら、アカウントに入れた相手にそのまま全部読まれます。クラウドか否かより、あなたの鍵なしで読めるか否かで考えてください。

なぜ平文の一覧が危険なのか

「ちゃんとパスワードをかけたGoogleアカウントに入れているから大丈夫」と思いがちですが、平文一覧には固有のリスクが積み重なります。

1→全部
アカウント1つ陥落で全パスワード流出
平文
アカウントに入れた相手が即読める
連携アプリ
Drive権限を渡した第三者にも見える
手入力
偽サイトに自分で貼ってしまう

具体的には、次のどれが起きても一覧まるごとが漏れます。

1

Googleアカウントの乗っ取り

フィッシングやセッション窃取でアカウントに入られた瞬間、Driveの平文ファイルが全部読まれる。最低限チェックリストでいう「王国の鍵」が、そのまま全パスワードの鍵になってしまう。
2

不正な連携アプリへの権限付与

「Driveにアクセスします」を許可した第三者アプリが、その平文ファイルを読める。便利機能のつもりが秘密の覗き窓になる。
3

手作業コピペによるフィッシング被害

表からパスワードを手でコピーして貼る運用は、偽サイトでも気づかず貼ってしまう。本物そっくりのドメインを人間は見分けにくい。
4

端末・共有リンクの拡散

同期する端末が増えるほど、共有リンクを一度作るほど、平文の到達範囲が広がる。

そしてGoogleドライブ自体の暗号化は「Googleが読める」前提のもので、秘密専用ではありません。保管先に預ける前に、あなたの鍵がなければ読めない状態にしておく——これが秘密の取り扱いの原則です(.envファイルと秘密情報でも同じ考え方)。

危険から安全までのものさし

同じ「Driveに保存」でも、中身の状態で安全性はまるで変わります。

✗ 平文の表

ドキュメント/スプレッドシートに直書き

△ 暗号化zip

パスワード付き圧縮。手間で形骸化しがち

○ 暗号化vault

KeePassの.kdbx等をDriveで同期

◎ 専用マネージャ

Bitwarden/1Password等。自動入力・監視つき

左ほど危険、右ほど安全。分かれ目は『あなたの鍵なしで読めるか』。

正しい保管のしかた

いちばんの正解は、専用のパスワードマネージャに移すことです。次の手順で平文一覧を卒業できます。

1

専用パスワードマネージャを使う

Bitwarden / 1Password / KeePass など。中身は端末間で同期しても暗号化されたまま(提供元も中身を読めない設計)。強いパスワードの自動生成・偽ドメインでは自動入力しないフィッシング対策・漏えい監視まで付く。
2

マスターパスワードは長く一意に

マネージャを開く鍵だけは強く、他と使い回さない。強さの目安は パスワード強度チェッカー で確認できる。
3

マネージャとGoogleアカウントにフィッシング耐性MFA

パスワードマネージャ本体と、メール/Googleアカウントにパスキー/物理キーを設定(→ 最低限チェックリストのTier 0)。鍵を二重にして単一障害点を消す。
4

移行できたら平文一覧を確実に消す

マネージャへ移し終えたら、Drive上の平文ファイルと、ゴミ箱・バージョン履歴・ダウンロード済みコピーまで削除。残ると意味がない。
5

可能ならパスキーへ

パスワードそのものを減らせる。対応サービスはパスキー(端末の生体認証等)にすると、盗める『文字列』が存在しなくなる。

Googleドキュメントに平文一覧

  • アカウント1つ陥落で全部漏れる
  • 偽サイトでも手で貼ってしまう(フィッシングに無防備)
  • 漏えい検知・自動入力・世代管理が無い
  • 連携アプリ権限でも中身が見える

専用パスワードマネージャ

  • 中身は暗号化されたまま同期(提供元も読めない)
  • 偽ドメインでは自動入力しない=フィッシング耐性
  • 強い生成・漏えい監視・履歴を内蔵
  • マスター鍵+MFAで二重に守れる

それでもDriveに置きたいなら

最低条件は2つ。①保存するのは暗号化済みの管理ファイル(.kdbx等)だけ——平文のドキュメント/スプレッドシートは不可。②Googleアカウントにフィッシング耐性MFAを必ずかける。この2つが揃えば、Driveは単なる『暗号文の同期置き場』になり、リスクは大きく下がります。

当サイトはどうしているか

当サイトは、パスワードや鍵・接続情報といった秘密を共有ドキュメントにも、コードのリポジトリにも、引き継ぎ資料にも平文で置かない運用を徹底しています(→ 秘密をgitに入れない話)。日常のログイン情報はパスワードマネージャで管理し、重要アカウントはフィッシング耐性のあるMFAで二重化。理由はシンプルで、「1か所が落ちたら全部落ちる」状態を作らないためです。平文の一覧は、まさにその『1か所で全部』を生む典型なので避けています。

次に読む

よくある質問

QパスワードをGoogleドライブに保存するのは安全ですか?
A

平文のドキュメントやスプレッドシートに一覧で保存しているなら危険です。Googleアカウント1つが全パスワードの単一障害点になり、乗っ取り・不正な連携アプリ・フィッシングで一気にすべて漏れます。一方、KeePassの.kdbxのような暗号化済みの管理ファイルをDriveに置くだけなら、ファイル自体が鍵なしでは読めないので実害は小さく、これは許容できます。

Q結局どこに保存するのが正解ですか?
A

専用のパスワードマネージャ(Bitwarden / 1Password / KeePass など)です。中身は端末間で同期しても暗号化されたまま(提供元も中身を読めない設計)で、強いパスワードの生成・偽サイトでは自動入力しないフィッシング対策・漏えい監視まで備えます。平文の表計算にはどれもありません。

QGoogleドライブ自体は暗号化されているのでは?
A

Googleは保管時・通信時に暗号化していますが、それは『Googleが読める』前提の暗号化で、秘密専用の設計ではありません。あなたのGoogleアカウントに入れた相手や、Driveへのアクセスを許可した連携アプリには中身が見えます。パスワードのような秘密は、保管先に預ける前に『あなたの鍵がなければ誰も読めない』状態にしておくのが原則です。