退職者や異動者のID、削除し忘れてしまった際のリスクとは?
退職や異動によって既に使われていないIDを放置することで、機密情報の漏洩が起こってしまう可能性があります。企業がこのようなリスクを低減するためには、適切なID管理が重要です。
本記事では、適切なID管理を実現し、情報漏洩を防ぐためにも実施すべき5つの対策について紹介します。
退職者IDを放置するリスクについて
従業員の退職や異動の際には、データ漏洩などのリスクがあるため、業務で利用していたシステムへのアクセス権を変更または削除する必要があります。しかし、アクセス権限が変更し忘れや、削除し忘れてそのまま放置されてしまっていたというケースは少なくありません。
本章ではID管理の現状と、もし放置してしまった場合のリスクについて説明します。
ID棚卸で読まれている【人気記事TOP5】はこちら
ID管理の現状
Kaspersky社が実施したインターネット調査によると、33%(日本では34%)が、「退職後もファイル共有や共同作業向けサービス、メールにアクセスできる」と答えています。同調査は日本を含む世界14か国の企業や組織に勤務する7000人を対象に実施し、各国500人が回答しております。
おおよそ3分の1の企業が、元従業員のアクセス権限の変更忘れや削除漏れがあるという内容より、IDの管理を適切に実施できていない企業は決して少なくないと言えます。
出典:Kaspersky「業務で使うデジタルデータの管理に関するインターネット調査(2018年12月~2019年1月)」
不適切なID管理を行うリスクについて
では、企業が不適切なID管理を行っている場合、どのようなリスクがあるのでしょうか。
情報処理推進機構(IPA)が発表した「企業における営業秘密管理に関する実態調査2020」によると、2020年に情報漏洩したルートとしては中途退職者(役員・正規社員)による漏洩が最多の36.3%となっていました。
情報漏洩が発生することで、企業としては金銭的な損失やこれまで培ってきた信頼を大きく損なう可能性があります。
このようなリスクを低減するためにも、異動者や退職者のIDを放置せず、管理をしっかりと行う必要があります。
出典:情報処理推進機構(IPA)「企業における営業秘密管理に関する実態調査2020(2021年3月)」
では、「IDの適切な管理」とはどのように進めればよいのでしょうか。
次章では、適切なID管理をするために実施すべき4つのことについて解説します。
適切なID管理とは~情報漏洩を出さないため実施すべき5つのこと~
不適切なID管理によって情報漏洩を発生させないためにも、しっかりとした対策を取る必要があります。
ここでは、情報漏洩を出さないため実施すべき5つの対策について紹介します。
対策その1:利用システムの洗い出し
実施すべき対策の 1 つとして、利用システムの洗い出しが挙げられます。洗い出しでは、業務を遂行するにあたり、各部署においてどのようなシステムが用いられているのかを確認します。昨今では、現場主導で導入されることもあるクラウドサービス(SaaS)の利用も増加しているため、これらのシステムについても把握しておくことが重要です。
対策その2:ID利用状況の洗い出し
2つ目はID利用状況の洗い出しです。実際に活用されているシステムにおいて、“誰”に対して“どのような”ID権限が付与されているかを確認します。ID管理が十分になされていなかった場合は、放置されたままとなっている多くの不適切IDが潜んでいる可能性があるでしょう。
まずは、自社のID利用状況がどのようになっているのか、「対策その1:利用システムの洗い出し」とあわせて、現状の整理が必要です。
以下の記事では、ID管理が十分になされていなかった場合に生まれる、企業にとってリスクの高い「4種類の高リスクID」をご紹介しております。ID管理におけるリスクの整理と対策について知りたい方はぜひご覧ください。
最小限の管理工数で、「4種類の高リスクID」を防ぐ適切な管理方法とは?
対策その3:ID作成・更新・削除の運用ルール明確化
IDの運用において、誰が、いつ、どんな頻度で、どのような依頼・情報を基に、どのように作成・更新・削除を行うのか、といったルールを明確化しておくことは非常に重要です。IDの「作成」については、IDがなければ業務を行えないため、確実に実施されやすい一方、「更新」や「削除」については実行されずとも、現場レベルでは業務遂行上の問題とならないため、忘れられてしまうことも少なくありません。
利用されていないIDを放置することで前章までに紹介したセキュリティリスクを高めてしまうため、十分に留意する必要があります。
対策その4:ID権限のルール明確化
IDの権限には一般ユーザー用の権限や管理者用の権限など、さまざまな種類があります。
本来管理者用の権限が不要であるはずの従業員に対し、過剰な権限の付与がされてしまっている場合は不要なリスクを負ってしまいます。そのため、ID権限の付与ルールを明確にしたうえで、「対策その1・2」で触れた状況確認を定期的に行うことが重要です。
しかし、付与ルールを厳しくしすぎてしまっても、実務上の運用にそぐわないことから、活用されないといったことにもつながってしまいますので、注意が必要です。
対策その5:共有IDの運用ルール明確化
共有IDは退職者や人事異動により権限がなくなった人でも、ID・パスワードを知っていれば利用できてしまう可能性があります。共有している人数が多ければ多いほど、管理の手間や情報漏洩のリスクが増えることから、アカウントの共有はできるだけ避けることが望ましいと言えます。しかし、実務運営上、複数人のメンバーで共有利用せざる得ないIDや、自動実行などでシステムが利用するIDが存在するケースも少なくありません。
そのため、共有IDを運用する際には、「定期的なパスワードの変更」や「アクセスが想定されるIPアドレスの特定(想定外のIPアドレスよりアクセスが発生した際に即時確認)」などの対策を実施することが重要です。
増える業務システムの管理にお困りの方は、ID管理で押さえるべき3つのポイントをご紹介している以下の記事もぜひご覧ください。
増え続ける業務システム。適切にID管理するために押さえるべき3つのポイント
不適切なID管理によって情報漏洩を発生させないためにも、上記で紹介したような対策が必要となります。
しかし、これらすべてを手作業で実施するのは多くの工数が必要となり、継続して適切に実施するのは非常に困難です。そのため、簡単かつ適切にID管理を出来るようなツールの利用も視野に入れたうえで、運用方法について検討することが重要です。
次章では、IDの適切な運用を実現するツールについて紹介します。
IDの適切な運用を実現する「アカンサス」とは
ID棚卸ツール「アカンサス」では、棚卸したいデータをインポートするだけで、手作業での実施が困難な「ID利用状況の整理」、「削除漏れIDの発見」、「共有IDの把握・管理」を簡単に実施できます。
以下ではアカンサスの各機能について簡単に紹介します。
「ID利用状況の整理」
インポートされた従業員情報とID情報を突合することで、どの従業員が、どのIDを利用しているのかを一覧で出力できます。また、利用状況のステータスはデータの突合状況により、「所有者」「所有者候補」「所有者不明」の3種類に自動で振り分けされますので、注意して確認すべきIDが一目で判別できます。
「削除漏れIDの発見」
アカンサス上で、退職者が利用していたID一覧や、異動した人が利用しているID一覧など、削除漏れと思わしきIDをレポートとして出力できます。
「共有IDの把握・管理」
複数の人が利用しているIDには「共有IDラベル」を付与して管理状態を整理することが可能です。
複数人のメンバーで共有利用せざる得ないIDや、自動実行でシステムが利用するIDなど、特定の従業員に紐付かないIDの管理状況を「共有IDラベル」とすることにより、業務実態に合わせた適切な運用・管理が実施しやすくなります。
IDの適切な運用を実現するアカンサスの機能を簡単に紹介しました。詳細については以下の資料にて記載していますので、ご興味を持たれた方はぜひご覧ください。
Work illustrations in this article by Storyset
あわせて読まれています
