共有アカウントでのID管理を実現する方法とは

2021/11/22
記事

一般的に共有IDは多くのリスクがあり、利用者ごとに個別にアカウント付与することが原則です。
しかし、どうしても個別の利用者に付与できず、共有せざるを得ないケースもあります。そこで本記事では、共有IDに潜む問題点や、適切な管理方法などについて解説します。

共有IDがもたらす問題点


アカウント運用の基本は1つのIDにつき1人の利用者

業務システムやクラウドサービスにID登録する際、基本的には1人につき1つのIDを付与します
IDを付与された利用者以外は、当該アカウントにアクセスできません。つまり、アカウントと利用者の対応関係は1対1が原則だということです。

一方、アカウントと利用者の対応関係が1対複数であるものを「共有ID」と呼びます。共有IDとは、利用者が特定の個人に紐づかず、複数人で同一のアカウントを利用している状態などをさします。

共有IDがあると何が問題になるのか?

共有IDは、以下の3つの観点から非常にリスクの高い運用方法だといえます。

1.責任の所在が曖昧となる

1つのIDに対し利用者が複数人いると、履歴(ログ)から操作者を読み取れないため、誰がいつどのような操作をしたか把握できず発見的統制(ルール違反を発見して是正すること)が難しくなります。仮に何らかの不正が行われたとしても、誰に原因があるのか突き止められず、責任の所在が曖昧になってしまいます

2.情報漏えいのリスク

複数人で1つのIDを共有するということは、パスワードも同様の扱いとなります。そうなると、パスワードの変更は頻繁にはしづらくなります。誰かがパスワードを変更して周知を忘れると、他の人がログインできなくなってしまうからです。
そして、パスワードが変更されないことで離任者や退職者がログインできる状態が発生しやすくなり、情報漏えいのリスクにつながります

3.利用規約違反に該当する

一般的に多くのソリューションやサービスは、複数人でのID共有利用を規約上禁止事項として定めています
規約違反して利用することは、損害賠償問題などの法的な制裁を受けるだけでなく、会社の社会的信用を大きく損なうことになります。

以上のように共有IDには多くの問題があります。
しかし、個人に紐づかないID利用の存在は様々なケースで存在します。次章で具体的なケースや各ケースの管理における留意点を解説します。

特定の個人に紐づかないIDはどうしても存在する

現実は特定の個人が利用者として紐づかないIDはどうしても存在する事があり、これまでお客様よりご相談いただいた内容から以下の3つに分類できます。

1. 特権ID
システムの停止・再起動やデータの更新・削除などあらゆる操作が可能な特別な権限を持つアカウントをさします。
特権IDは複製できないものもあるため、システム運用において管理チームで共有せざるを得ないケースも多くあります。

2. APIやバッチに埋め込むための外部システム連携用アカウント
外部システム連携用のアカウントも一般のアカウントとは性質が異なります。
そのようなアカウントは、特定の個人ではなく連携先システムやバッチが利用者となります。

3. 貸与ID(利用規約上アカウント共有が許されているシステム)
システムによっては利用規約上アカウント共有を条件付きで許容しているものもあります。
加盟店や外部委託先への貸与や特定業務の一時利用などケースとしては様々です。

では、これらのIDはどういう点に留意して管理すべきか?

以上のようなIDを適切に管理するためには、業務システム上のIDのうち利用者に紐づかないIDはどれかを明確化し、利用目的と責任の所在を明らかにすることが重要です。

◯特権ID
ユーザーID管理とは別の運用方法を定め、誰がいつ何を作業したかをトレースできるようにする。

◯外部システム連携用アカウント
誰が責任者かを定め、定期的に継続利用するかの確認(棚卸点検)を実施する。

◯貸与ID
貸与元と貸与先それぞれの責任者を明確にし、定期的に継続利用するかの確認(棚卸点検)を実施する。

加えて、共有IDの利用者が多くなり過ぎないようメンバーを絞ることや、定期的なパスワード変更、アクセスが想定されるIPアドレスの特定といった対策も有効です。

このような共有IDの適切な管理・運用は、弊社が提供しているID棚卸ツール「アカンサス」で実現できます。

アカンサスではどのように、個人に紐づかないIDを管理するのか?

アカンサスでは、各システム上のアカウントを「所有者ありID(個人利用ID)」「所有者なしID(誰が利用しているのか分からないID)」「共有ID」の3つに分類して台帳管理する事ができます。

業務やシステムの都合上、どうしても個別の利用者に紐づけられないIDや複数人のメンバーで共有利用せざるを得ないIDに対し「共有IDラベル」を付与することで、「所有者なしID」とは別に「共有ID」による管理実態を把握できるようになり、共有IDの管理・運用を適正化できます。

システムごとの台帳の見え方

共有IDの登録・設定は簡単にできるため、誰でもすぐに活用可能です。

共有IDの適切な管理・運用は、セキュリティやコンプライアンスの面からはもちろん、業務の効率化を図るうえでも非常に重要です。

紹介資料では、共有ID管理機能のより詳細なご案内をはじめ、ID管理で手間のかかる点とアカンサスによる解決ポイントなどを解説しています。
日々のアカウント台帳管理でお悩みのご担当者様は是非ご覧ください。

他社のID棚卸の実施状況についてご紹介
記事「他社はどんな風にアカウント棚卸している?」はこちら
おすすめ資料
共有IDに潜むリスクと
押さえておきたい管理のポイント
ページTOP