## 概要
Googleパスワードマネージャーは、保存されたパスワードを保護するために複数の暗号化レイヤーを採用しています。標準では、パスワードはGoogleのインフラストラクチャ内で暗号化され、転送中および保存中に保護されます[10][12][25][30][47][51]。さらに、セキュリティを強化するためのオプションとして「オンデバイス暗号化」機能を提供しています[1][3][20]。この機能を有効にすると、パスワードはユーザーのデバイス上で、デバイス固有のキーまたはGoogleアカウントのパスワードを使用して暗号化されてからGoogleのサーバーに保存されるため、Google自身も暗号化されたパスワードを復号できません[1][20][39]。パスキーもエンドツーエンドで暗号化されて保存されます[7][21][40]。
## 詳細レポート
### 標準の暗号化
Googleパスワードマネージャーは、デフォルトで強力な暗号化技術を用いてユーザーのパスワードを保護します。
* **保存時の暗号化:** パスワードはGoogleのサーバーに保存される際、暗号化された状態で保管されます[9][12][27][30][41][51][59]。これにより、不正アクセスがあった場合でも、パスワード情報が容易に読み取られることを防ぎます。
* **転送時の暗号化:** ユーザーのデバイスとGoogleサーバー間でパスワード情報が送受信される際も、HTTPSやTLSといったプロトコルを用いて暗号化されます[42]。これにより、通信経路上での盗聴リスクを低減します。
* **使用されるアルゴリズム:** 具体的なアルゴリズムとして、256ビットAES暗号化やxChaCha20が言及されています[8][18][45][53][58]。
### オンデバイス暗号化 (On-Device Encryption)
標準の暗号化に加えて、Googleパスワードマネージャーは「オンデバイス暗号化」という、より高度なセキュリティオプションを提供しています[1][3][11][16][20][23][26][28][35][39][44]。
* **仕組み:** この機能を有効にすると、パスワードはGoogleのサーバーに送信される*前*に、ユーザーのデバイス上で暗号化されます[1][3][20][26][39]。暗号化には、ユーザーのGoogleアカウントのパスワード、またはデバイスの画面ロック(PIN、パターン、生体認証など)が暗号化キーとして使用されます[4][17][22][36][46][48]。
* **キー管理:** 標準の暗号化では暗号化キーをGoogleが管理しますが、オンデバイス暗号化ではユーザー自身がキーを管理することになります[1][20][39]。
* **利点:** これにより、たとえGoogleのサーバーが不正アクセスを受けたとしても、暗号化キーはユーザーのデバイス側にあるため、第三者(Google自身を含む)がパスワードを復号することは極めて困難になります[1][20][39][42][50]。Googleはこの機能により「パスワードを見ることができるのはあなただけ」になると説明しています[16][23]。
* **設定方法:** オンデバイス暗号化はオプション機能であり、ユーザーが手動で設定する必要があります[3][11][26][35][49]。設定はGoogleパスワードマネージャーの設定画面から行えます[1][3][11][20][35][39]。
* **注意点:**
* 一度設定すると、公式には簡単に無効化できないとされています。無効化するには、保存されているパスワードをすべて削除する必要がある場合があります[20][39]。
* Workspaceアカウントでは利用できません[3][41][59]。
* デバイスの画面ロックやGoogleアカウントのパスワードを忘れると、パスワードにアクセスできなくなるリスクがあります。
| 機能 | 標準暗号化 | オンデバイス暗号化 (ODE) |
| :————— | :————————————— | :——————————————- |
| **暗号化場所** | Googleサーバー | ユーザーデバイス上 |
| **暗号化キー管理** | Google | ユーザー (デバイスロック/Googleパスワード) |
| **Googleのアクセス** | 暗号化データにアクセス可能 (理論上) | 暗号化データにアクセス不可 |
| **有効化** | デフォルトで有効 | オプション (手動設定) |
| **対象ユーザー** | 全ユーザー | Workspaceユーザーを除く |
### パスキーの暗号化
Googleパスワードマネージャーはパスキーの保存と同期もサポートしており、その際も高度な暗号化が用いられます。
* **エンドツーエンド暗号化:** パスキーは常にエンドツーエンドで暗号化されます[7][21][40]。
* **バックアップ:** パスキーをバックアップする際には、暗号化された秘密鍵のみがGoogleのサーバーにアップロードされます[7][21]。この暗号化はユーザーのデバイス上でしかアクセスできない暗号鍵(デバイスロックに紐づく)を用いて行われるため、Google内部の攻撃者からも保護されます[7][54]。
* **デバイス固有鍵:** パスキー利用時には、オプションでデバイス固有の秘密鍵による署名を追加することも可能で、これによりパスキーがどのデバイスで使われたかをより確実に把握できます[7]。
### データ侵害チェック時の暗号化
Chromeには、保存されたパスワードがデータ侵害によって漏洩していないかを確認する機能があります。このプロセスにおいてもプライバシー保護のための暗号化が用いられます。
* **ローカルでの暗号化:** ユーザー名とパスワードは、デバイス上でデバイス固有の秘密鍵を使って暗号化された後、Googleに送信されます[2][5][32][37][57]。
* **Googleによる照合:** Googleは受け取った暗号化データを、既知の侵害された認証情報の暗号化リストと照合します[2][5][32]。
* **プライバシー保護:** このプロセスを通じて、Googleがユーザーの実際のユーザー名やパスワードを知ることはありません[2][5][37][50]。
### セキュリティに関する考慮事項
Googleパスワードマネージャーは便利な機能ですが、セキュリティ面でいくつか留意すべき点があります。
* **Googleアカウントへの依存:** パスワード全体のセキュリティは、基盤となるGoogleアカウントのセキュリティ強度に大きく依存します[42]。Googleアカウントが侵害されると、保存されたパスワードも危険に晒される可能性があります。
* **マスターパスワードの不在:** 一部の専用パスワードマネージャーとは異なり、Googleパスワードマネージャー自体に独立したマスターパスワードは基本的に存在しません(Googleアカウントのパスワードがその役割を兼ねる)[15][33][42]。
* **オンデバイス暗号化のデフォルト設定:** オンデバイス暗号化はより強固な保護を提供しますが、デフォルトでは有効になっておらず、ユーザーが能動的に設定する必要があります[49][52]。
* **ゼロ知識暗号化:** オンデバイス暗号化を有効にしない限り、Googleが技術的にデータ(パスワード)にアクセスできる可能性があるため、厳密なゼロ知識(Zero-Knowledge)アーキテクチャとは言えない場合があります[42][43][58]。
[1] https://mikeolabo.com/password-manager/
[2] https://support.google.com/chrome/answer/10311524?hl=en
[3] https://support.google.com/accounts/answer/6208650?hl=ja&co=GENIE.Platform%3DAndroid
[4] https://security.stackexchange.com/questions/269341/how-does-googles-on-device-encryption-work
[5] https://support.google.com/chrome/answer/10311524?hl=ja
[6] https://www.reddit.com/r/cybersecurity_help/comments/17alf5x/wtf_is_ondevice_encryption_on_google_password/
[7] https://developers-jp.googleblog.com/2022/11/security-of-passkeys.html
[8] https://www.techrepublic.com/article/is-google-password-manager-safe/
[9] https://www.android.com/intl/ja_jp/articles/176/
[10] https://passwords.google/intl/en_sg/
[11] https://pc.watch.impress.co.jp/docs/news/1419209.html
[12] https://support.google.com/accounts/answer/6208650?hl=en&co=GENIE.Platform%3DDesktop
[13] https://www.keepersecurity.com/blog/ja/2024/08/01/google-password-manager-loses-millions-of-passwords/
[14] https://proton.me/blog/google-password-manager-security
[15] https://teampassword.com/ja/blog/are-chrome-passwords-safe-ja
[16] https://9to5google.com/2022/06/21/google-password-on-device-encryption/
[17] https://getnavi.jp/digital/755391/
[18] https://www.passwordmanager.com/google-password-manager-review/
[19] https://www.keepersecurity.com/blog/ja/2024/06/14/are-google-generated-passwords-safe/
[20] https://mikeolabo.com/password-manager/
[21] https://developers-jp.googleblog.com/2022/11/security-of-passkeys.html
[22] https://getnavi.jp/digital/755391/
[23] https://9to5google.com/2022/06/21/google-password-on-device-encryption/
[24] https://www.keepersecurity.com/blog/ja/2024/06/14/are-google-generated-passwords-safe/
[25] https://passwords.google/intl/en_sg/
[26] https://support.google.com/accounts/answer/6208650?hl=ja&co=GENIE.Platform%3DAndroid
[27] https://www.android.com/intl/ja_jp/articles/176/
[28] https://www.techrepublic.com/article/is-google-password-manager-safe/
[29] https://www.keepersecurity.com/blog/ja/2024/08/01/google-password-manager-loses-millions-of-passwords/
[30] https://support.google.com/accounts/answer/6208650?hl=en&co=GENIE.Platform%3DDesktop
[31] https://proton.me/blog/google-password-manager-security
[32] https://support.google.com/chrome/answer/10311524?hl=ja
[33] https://teampassword.com/ja/blog/are-chrome-passwords-safe-ja
[34] https://www.reddit.com/r/cybersecurity_help/comments/17alf5x/wtf_is_ondevice_encryption_on_google_password/
[35] https://pc.watch.impress.co.jp/docs/news/1419209.html
[36] https://security.stackexchange.com/questions/269341/how-does-googles-on-device-encryption-work
[37] https://support.google.com/chrome/answer/10311524?hl=en
[38] https://www.passwordmanager.com/google-password-manager-review/
[39] https://mikeolabo.com/password-manager/
[40] https://developers-jp.googleblog.com/2022/11/security-of-passkeys.html
[41] https://support.google.com/accounts/answer/6208650?hl=ja&co=GENIE.Platform%3DAndroid
[42] https://www.strongpasswordgenerator.org/how-secure-is-google-password-manager/
[43] https://blog.lastpass.com/posts/is-google-password-manager-safe
[44] https://www.techrepublic.com/article/is-google-password-manager-safe/
[45] https://www.reddit.com/r/yubikey/comments/15so6ux/i_use_google_password_manager_i_dont_hear_it/
[46] https://privacy.com/blog/is-google-password-manager-safe
[47] https://passwords.google/intl/en_sg/
[48] https://security.stackexchange.com/questions/269341/how-does-googles-on-device-encryption-work
[49] https://www.androidpolice.com/reasons-stopped-using-google-password-manager/
[50] https://proton.me/blog/google-password-manager-security
[51] https://support.google.com/accounts/answer/6208650?hl=en&co=GENIE.Platform%3DDesktop
[52] https://blog.mega.io/is-google-password-manager-safe
[53] https://www.passwordmanager.com/google-password-manager-review/
[54] https://security.googleblog.com/2022/10/SecurityofPasskeysintheGooglePasswordManager.html
[55] https://passwords.google.com/
[56] https://support.google.com/android/thread/271494421/google-password-manager-on-device-encryption-what-s-the-difference-in-user-experience?hl=en
[57] https://support.google.com/chrome/answer/10311524?hl=en
[58] https://www.passwordmanager.com/google-password-manager-review/
[59] https://support.google.com/accounts/answer/6208650?hl=ja
[60] https://security.stackexchange.com/questions/269341/how-does-googles-on-device-encryption-work
