｢IDとパス｣激増､守るべき管理の大原則とは？ 放置した｢退職者アカウント｣が脅威の入り口に

多くのクラウドサービスを利用する今、増えるアカウントの管理を適切に行うことが重要だ（写真：SmileStudioAP/Getty Images）

クラウドサービスの普及で利便性が高まる反面、増加する一方のアカウント管理が頭の痛い問題だ。抹消せず放置した退職者アカウントから不正侵入されたり、無駄なコストの原因となったりしているからだ。アカウント管理のどんな点に課題があり、どう対処すればよいのか。ITセキュリティソリューションを提供するラックの稲毛正嗣氏と野口敦己氏に話を聞いた。

クラウドの普及で高まる「鍵」の重要性

――「アカウント管理」が今重要な問題となっているのはなぜでしょうか。

【写真を見る】「100人の従業員がいる会社で10個のクラウドサービスを利用すると、1000個の鍵が存在することになり、膨大な数の鍵を管理するのが難しくなる」と話すラックの野口氏

野口　そもそもアカウントとは何かといえば、いわば情報システムに入るための「鍵」です。ただ、以前は情報システムが自社内に置かれ、社内と社外の境界が防御されていたので、鍵の管理はそこまで重要ではありませんでした。社内という“家の中の鍵”だったので、厳密に管理しなくてもよかったのです。

しかしクラウドサービスが急速に普及し、情報システムが境界の外側にあるインターネット上に置かれるようになりました。その結果、社内と社外の境界で防御できない状態が生まれたことが、アカウント管理が重視されるようになった一番の理由だと思います。

リモートワークの普及で、接続元が社外のアクセスが増えたこともあるでしょう。

稲毛　加えて、クラウドサービスを使用するときは「責任共有モデル」といって、クラウド事業者と利用者間で、セキュリティとコンプライアンスに関する責任の分担を定めたモデルがあります。そこでユーザーの認証やアクセス管理（組織内のデータやサービスへのアクセス権の範囲を制御すること）等は利用者の責任とされているので、これがより重要になってきました。

――「鍵」の管理のどんな点が問題になっているのですか。

野口　境界の内側にある情報システムでは、管理するIDは一人あたり2つか3つくらいだったと思います。

しかしクラウドサービスを利用するようになると、クラウドベンダーごとに異なるIDが払い出される状況になります。

つまり、100人の従業員がいる会社で10個のクラウドサービスを利用すると、1000個の鍵が存在することになり、膨大な数の鍵を一つひとつ管理するのが難しいという課題が発生します。

倍々ゲームで鍵が増えるだけでなく、各々の鍵にどの程度のアクセス権限が割り当てられているのかも管理する必要があります。