｢IDとパス｣激増､守るべき管理の大原則とは？ 放置した｢退職者アカウント｣が脅威の入り口に

例えば、一般社員が経営層と同じように会社の機密情報にアクセスできていたら、リスクが生じます。

稲毛　私たちの元には「IT部門だけではアカウント管理に手が回らない、どうしたらよいか」といった相談がたくさん寄せられます。その背景にはIT人材不足もあるのかもしれません。

アカウント管理の不備がコスト増に直結

――アカウント管理が適切にできていないと、どんな問題が生じるリスクがありますか。

野口　適切に管理されていないアカウントから社内システムに侵入され、情報を引き抜かれるおそれがあります。情報が漏洩すれば大問題となり、企業のイメージダウンやビジネスへの悪影響につながります。

業務上でも、例えば退職者のMicrosoft 365のアカウントを削除したところ、OneDrive上のフォルダに保存されていた重要な顧客の情報も消えてしまった、といった問題が起きています。これはMicrosoft 365のアカウントが誰に割り当てられ、その人がどんな権限を持っているかがきちんと管理されていないために発生する問題です。

稲毛　ほかには、退職者や異動者のアカウントが放置され、使っていないライセンスが有効になっていれば当然、無駄な費用がかかってしまいます。

退職者や異動者のアカウントを抹消できていないと、情報システムに不正侵入される可能性があり、実際にインシデントも発生していると聞いています。システムだけでなく、例えばマーケティング部で運用しているSNSの企業アカウントも注意する必要があります。退職した人が、報復としてそのアカウントから不適切な投稿をして炎上、といったリスクも考えられます。

人事システムと連携するなどして、抹消すべきアカウントを自動的に無効化する仕組みづくりが必須でしょう。

――IT部門が直接管理するものだけでなく、事業部門が契約しているアプリケーションが増加し、管理が行き届かなくなるケースもあるようです。

野口　事業部門での導入時は、IT部門の許可を必要にすることが前提です。そのうえで、定期的にシステム監査をし、アカウント一覧を出してもらうようにします。そうすれば、ガバナンス問題はクリアになるでしょう。

「最小権限の原則」を守ること

――アカウント管理で注意すべきポイントは何でしょうか。

稲毛　1つのアカウントに侵入されても適切に権限が付与されていれば、その影響は最小限にとどめられます。しかし、全員に管理者権限を与えていたら、すべての情報が見られてしまうわけです。ですので、各アカウントの業務に必要な権限だけを与える「最小権限の原則」を守る必要があります。