｢IDとパス｣激増､守るべき管理の大原則とは？ 放置した｢退職者アカウント｣が脅威の入り口に

業務上でも、例えば退職者のMicrosoft 365のアカウントを削除したところ、OneDrive上のフォルダに保存されていた重要な顧客の情報も消えてしまった、といった問題が起きています。これはMicrosoft 365のアカウントが誰に割り当てられ、その人がどんな権限を持っているかがきちんと管理されていないために発生する問題です。

稲毛 ほかには、退職者や異動者のアカウントが放置され、使っていないライセンスが有効になっていれば当然、無駄な費用がかかってしまいます。

稲毛 正嗣（いなげ・まさつぐ）／ラック 営業統括部 ソリューションコンサルティング部 デジタルアイデンティティ＆ガバナンスグループ グループマネージャー。2017年にラック入社。コンサル、ソリューション企画、ソリューションのプリセールスなどをマルチに担当。最近は、とくにデジタルアイデンティティをテーマに、セキュリティ、DX、両側面から顧客を支援（写真：本人提供）

退職者や異動者のアカウントを抹消できていないと、情報システムに不正侵入される可能性があり、実際にインシデントも発生していると聞いています。システムだけでなく、例えばマーケティング部で運用しているSNSの企業アカウントも注意する必要があります。退職した人が、報復としてそのアカウントから不適切な投稿をして炎上、といったリスクも考えられます。

人事システムと連携するなどして、抹消すべきアカウントを自動的に無効化する仕組みづくりが必須でしょう。

――IT部門が直接管理するものだけでなく、事業部門が契約しているアプリケーションが増加し、管理が行き届かなくなるケースもあるようです。

野口 事業部門での導入時は、IT部門の許可を必要にすることが前提です。そのうえで、定期的にシステム監査をし、アカウント一覧を出してもらうようにします。そうすれば、ガバナンス問題はクリアになるでしょう。

「最小権限の原則」を守ること

――アカウント管理で注意すべきポイントは何でしょうか。

稲毛 1つのアカウントに侵入されても適切に権限が付与されていれば、その影響は最小限にとどめられます。しかし、全員に管理者権限を与えていたら、すべての情報が見られてしまうわけです。ですので、各アカウントの業務に必要な権限だけを与える「最小権限の原則」を守る必要があります。