｢IDとパス｣激増､守るべき管理の大原則とは？ 放置した｢退職者アカウント｣が脅威の入り口に

稲毛 加えて、クラウドサービスを使用するときは「責任共有モデル」といって、クラウド事業者と利用者間で、セキュリティとコンプライアンスに関する責任の分担を定めたモデルがあります。そこでユーザーの認証やアクセス管理（組織内のデータやサービスへのアクセス権の範囲を制御すること）等は利用者の責任とされているので、これがより重要になってきました。

――「鍵」の管理のどんな点が問題になっているのですか。

野口 境界の内側にある情報システムでは、管理するIDは一人あたり2つか3つくらいだったと思います。

野口 敦己（のぐち・あつみ）／ラック 営業統括部 ソリューションコンサルティング部 デジタルアイデンティティ＆ガバナンスグループ。2018年にラック入社。現在はIDaaS製品のプリセールスエンジニアとして、長年の経験と知識を生かし、顧客の課題の整理と解決策の提案を行っている（写真：本人提供）

しかしクラウドサービスを利用するようになると、クラウドベンダーごとに異なるIDが払い出される状況になります。

つまり、100人の従業員がいる会社で10個のクラウドサービスを利用すると、1000個の鍵が存在することになり、膨大な数の鍵を一つひとつ管理するのが難しいという課題が発生します。

倍々ゲームで鍵が増えるだけでなく、各々の鍵にどの程度のアクセス権限が割り当てられているのかも管理する必要があります。

例えば、一般社員が経営層と同じように会社の機密情報にアクセスできていたら、リスクが生じます。

稲毛 私たちの元には「IT部門だけではアカウント管理に手が回らない、どうしたらよいか」といった相談がたくさん寄せられます。その背景にはIT人材不足もあるのかもしれません。

アカウント管理の不備がコスト増に直結

――アカウント管理が適切にできていないと、どんな問題が生じるリスクがありますか。

野口 適切に管理されていないアカウントから社内システムに侵入され、情報を引き抜かれるおそれがあります。情報が漏洩すれば大問題となり、企業のイメージダウンやビジネスへの悪影響につながります。