企業内でのアカウント管理の重要性は広く理解されつつも、情報システム部門と経営層・他部門との間で認識のズレが生じることは少なくありません。さらに、さまざまな企業でもセキュリティ事故が続くなか、自社の課題や対策を把握するのは簡単ではないのが現状です。
「ジョーシスラーニング」では、企業の情報システム部門が直面したリアルな課題や、それにどう向き合ったのかについて、それぞれの事例をより多くの経営層へ届けたく、新たにインタビュー企画を開始しました。
目的は以下の通りです。
- IT管理者の皆様が、現状を見つめ直す機会となるような情報を発信する
- 企業の経営者層(CEOやCTO)の皆様に、アカウント管理が企業運営に与える影響について新たな視点を提供する
初回は、建設業や電気通信設備事業を中核として、ITシステムやネットワークシステム、ITソリューション事業を展開している中堅企業S社様のお話を伺います。
【S社様インタビュー概要】
・業種:建設業や電気通信設備事業を中核として、ITシステムやネットワークシステム、ITソリューション事業を展開
・従業員数:約600名
・情報システムの管理者:7名
サービスごとに専門が決まっているわけではなく、社内で利用しているSaaSを全員で管理
・インタビューの背景:
クライアント先の情報漏洩を機に、自社のクラウドサービスの利用状況の把握や、シャドーIT対策に取り組むことになった。
それではさっそく、第一回のS社の事例を見ていきましょう。(ジョーシスラーニング編集部)
クライアント先で情報漏洩が発生
ーーまず、クライアント先の情報漏洩についてはどうやって知りましたか。
「ニュースで広く報道されていたため、そこで知りました。
弊社は、その被害を受けたクライアント先から仕事を請け負っていました。
弊社の経営陣もこの漏洩事件を受けて、自社がどういったセキュリティ対策をしているのか気にするようになりました。
経営陣としては、この漏洩事件と同じことを自社で起こしてほしくないと考えていたようです」
【ポイント】ITガバナンス強化には経営層の関心が不可欠
現場ではセキュリティリスクを認識していても、経営層の関心が低いと対策が後回しになりがちです。企業全体でガバナンスを強化するためには、経営層がリスクを正しく理解し、主導して管理体制を構築することが重要です。
調査をしようと思ったが現状の把握ができなかった
ーー御社では、自社で活用しているSaaSについてどのように管理していたのでしょうか。
「SaaSの活用は、ここ2〜3年くらいのことですので、実はまだ管理体制も整っておらず、台帳も作成していませんでした。
実際私たちも、全社でどのようなSaaSをどのくらい利用しているのか、十分に把握できていないのが実情でした。なお、Josysを導入してシャドーIT(※1)を検知したところ、把握しているSaaSは実態より2倍存在していたのです」
(※1)シャドーIT:企業が把握・管理していない個人利用のIT機器やクラウドサービスを業務で使用すること。セキュリティリスクが伴う。本稿ではクラウドを想定している。
自分たちでできていると思っていたところができていなかった
「弊社では社員によるUSBなど情報の持ち出しは、以前から制御をかけています。
加えて、SaaSの方もしっかり管理しなければいけないと考えていたところで、経営陣からSaaSの管理状況を調査するよう指示がありました。今回、Josysを導入して確認したところ、退職者のアカウントが残っていたことが判明しました。
自分たちは問題なくできていると思っていたところが、意外とできてなかったんだなと今回強く認識しました」
ーー従業員のSaaSアカウントのステータスがどうなっているのか、監視コンソール上だけだと正確に把握できない側面もありますよね。
「おっしゃる通りです。システムのセキュリティ管理において、思い込みは非常に危険であることを改めて痛感した次第です」
【ポイント】「できているはず」の思い込みこそがリスク
IT管理では「問題ないと思っていた」が実は管理が甘かった、というケースが多く見られます。常に客観的なデータを基にSaaSやアカウントの状況を把握し、定期的に見直す仕組みを整えることが不可欠です。
蓋を開けてみたらSaaSの分散管理やシャドーITが発覚
ーー御社では、情シス部門で全社的なシステムを管理する以外にも、各部署でそれぞれSaaSを管理されているのですよね。御社の経営陣は、社内でSaaSを分散管理していることを把握していたのでしょうか。
「分散管理の実情について、経営陣も把握できていなかった可能性はあります。シャドーITを検知するためにCASB(※2)を使おうとも考えましたが、費用が高額になるため、まずは現状を把握することを優先しました。
Josysを用いて社内にシャドーITがこれだけあると示すことで、セキュリティ対策の足がかりになりました。
ただ、社員の認識として、シャドーITを使っていることへの危機感がないのは大きな課題です。
無料でアカウントを作って使っている社員がいるので、やめてほしいと伝えたところ、なぜだと反論されることもありました」
(※2)CASB(Cloud Access Security Broker):クラウドサービスの利用を可視化し、セキュリティ管理やデータ保護を強化するためのツール
【ポイント】ガバナンスが機能しない原因は“見えていないリスク
企業内のSaaS利用が分散すると、管理が曖昧になり、シャドーITの温床になります。ガバナンスを機能させるには、現状を正確に可視化し、従業員の意識改革を進めることが求められます。
一元管理‧分散管理の区分け
ーー情報システム部門の管理対象としては、全社が利用するシステムやツール、SaaSを見ているのでしょうか。それぞれの事業部で使っているサービスも管理していますか。
「基本は全社で使っているものを管理しています。ただし部門によっては、自分たちで管理が難しいということで情シス部門で受け持っているものもあります。
それぞれの事業部で使っていたものと、情シス部門で一元管理している全社利用のSaaSは、別の管理をしていました」
ーー現状では、どういった管理をしていますか。
「今までSSO(※3)と資産管理ツールの2軸で管理していて、加えてアカウント管理は各サービスのコンソール上で見てきました。さらに、EDR(※4)の導入をしています。
サービスごとにアカウントは管理できているのですが、SaaSを本格的に導入したのがここ2〜3年なので、まだ管理用の台帳はありませんでした」
(※3)SSO(Single Sign-On):一度のログインで複数のシステムやサービスにアクセスできる認証方式。パスワード管理の負担を軽減し、セキュリティを強化する。
(※4)EDR(Endpoint Detection and Response):端末(PCやサーバー)におけるサイバー攻撃を検知・分析し、迅速に対応するセキュリティ対策のこと。
【ポイント】SaaS管理は「中央管理」と「部門管理」のバランスがカギ
全社で統一管理するべきSaaSと、部門ごとに運用すべきSaaSを適切に区分することが重要です。一元管理が難しい場合でも、最低限のルールと可視化の仕組みを整えることで、リスクを低減できます。
アカウント管理には不十分な点も
ーーアカウントの管理では、どなたを対象にされていますか。
「子会社を含めた社員全員と協力会社のアカウントを管理しています」
ーーSSOとの連携状況や、連携していないサービスについてはどうですか。
「SSOを利用しているサービスは、従業員の退職と同時にアクセスが停止されます。一方で、SSOと連携していないサービスもあり、それらは別途管理が必要です。
現在、SSO未連携のSaaSは3製品程度ですが、シャドーITを含めると、実際の利用数はもっと多い可能性があります。
シャドーITのリスクを十分に認識できておらず、後回しにしていたため、SSOと連携しないままでのSaaS運用になっていたように思います」
【ポイント】退職者アカウントの削除漏れは想像以上に危険
SSO連携があるからと安心していても、SSO未対応のSaaSや外部サービスには削除漏れが発生しやすいものです。自動削除が難しいアカウントは、定期的な棚卸しと手動チェックを徹底することが必要です。
特権管理でパスワードを共有していた
ーーJosysでは特権管理(※5)もできますが、グローバル管理者の権限管理はされていましたか。
「これまでは情シス部門のみで特権管理を行っており、現場の人員変動も少なかったため、決まったパスワードで運用していました。しかし最近は人員の流動が高まったことから、特権管理の強化が必要だと感じています。
現在、管理者は5〜6名おり、部門で管理しているSaaSは、グループアドレスを活用していますが、パスワードを共有する形で運用しているのが現状です。セキュリティ意識には個人差があり、アカウントの使い回しが便利だったため続けてきましたが、この方法には退職者がアクセスするリスクなど大きな課題があると認識しています」
ーーなるほど、ありがとうございます。同じようなことが他社でも発生していますが、リスクはかなり高いですよね。退職後、パスワードを変えなければアクセスできてしまいます。
(※5)特権管理:システムやネットワーク内で管理者権限や特権アクセスを適切に制御し、不正アクセスや誤操作を防ぐための管理手法です。
【ポイント】特権アカウントのパスワード共有は重大なセキュリティリスク
特権アカウントのパスワードを共有すると、不正アクセスのリスクが高まり、管理責任の所在も曖昧になります。特権管理の基本は、個別アカウントの付与とアクセスログの記録です。多要素認証(MFA)の導入や、特権アクセス管理(PAM)を活用し、厳格な管理体制を整えることが不可欠です。
協力会社でアカウントの使いまわしが発覚
「ちなみに、弊社の協力会社にも、SaaSを利用するアカウントを発行しているのですが、協力会社の担当者が退職し、後任の担当者がそのアカウントを使い回していた事例がありました」
ーーそれはなぜ発覚したのですか。
「この人はもういないのに名前が残っている」という話が出たことで発覚しました。
この問題に対応するため、協力会社社員のメールアカウントは最長1年しか使えない仕組みにし、年に1回メールアドレスの調査を実施しています。また、3ヶ月間ログインがない場合にアカウントが自動削除される仕組みも導入しています。
ただし、メールアカウントを削除しても、後任者が前任者のアカウントを使い回すことがあり、そこが課題です。セキュリティ対策は講じていますが、現場では、前任者と同じ情報を見るなら問題ないと認識されがちで、意識改革が必要だと感じています」
【ポイント】協力会社のアカウント管理は盲点になりやすい
協力会社のアカウントは、社内アカウントと比べて管理が甘くなりがちで、使い回しのリスクが発生しやすいのが実情です。対策として、アカウントの有効期限を設定し、自動削除ルールを導入することが重要です。加えて、協力会社の担当者にもセキュリティ意識を高める教育を実施し、「アカウントの使い回しは許されない」という認識を定着させる必要があります。
退職者の削除問題
ーーアカウントの棚卸はどのくらいの頻度で実施していますか。
「現在、アカウントの棚卸は行っていません。SSOがADと連携しており、AD(※5)では退職手続き時にアカウントを確実に削除しています。また、3カ月間ログインがない場合、自動でアカウントを凍結する仕組みもあります」
(※5)AD(Active Directory):Windows環境でユーザーやデバイス、アクセス権を一元管理するディレクトリサービス。企業の認証や権限管理に広く利用される。
ーー退職者の情報はどのように管理されていますか。
「人事部門から月末に退職予定者の一覧を受け取り、その情報をもとに退職処理を行っています」
ーー退職者が利用していたアカウントの把握はどのようにしていますか。
「退職者については特に管理しておらず、SSOを利用しているサービスでは、退職時にSSOから自動的に削除しています。SSOと連携していないSaaSや他社の環境については、手動でアカウントを停止する対応です。
基幹システムでは、人事システムで退職処理を行うと、関連するアカウントが自動で停止されます。ただし、SSOと連携していないSaaSや他社の環境については、手動でアカウントを停止する対応をしています」
【ポイント】退職者アカウントの削除漏れは想像以上に危険
SSO連携があるからと安心していても、SSO未対応のSaaSや外部サービスには削除漏れが発生しやすいものです。自動削除が難しいアカウントは、定期的な棚卸しと手動チェックを徹底することが必要です。
シャドーITのリスク
ーーセキュリティ対策として、今後ここは力を入れてやった方が良いと思っているポイントはありますか。
「今回、色々な製品を使ってみて、できていると思ったことが意外とできていなかったという点は私共の反省点であり、今後はSaaS管理に注力していかないといけないところだと思っています。
SaaS管理という点では、シャドーITを把握する仕組みは必要なのだなと気づかされました。今後のセキュリティ対策の足掛かりとしてシャドーITの見える化をさらに進めたいと思っています。
シャドーITの検知については、個人のアカウントを検知できるサービスという点が非常に少なく、2製品しかなかったですね。今後は重点的に調べていきたいと考えています。」
【ポイント】シャドーITの放置は企業の存続リスクにつながる
業務効率化のために従業員が独自にSaaSを導入するケースが増えていますが、これが情報漏洩の原因になりかねません。シャドーITを検知し、適切な管理フローを確立することが企業の安全を守るカギとなります。
今回の学びと今後の課題
ーー 今回の経験から得た教訓は何でしょうか。
「管理できているはずという思い込みは危険だということです。
経営陣も情報システム部門も、アカウント管理は問題ないと思い込んでいたのですが、実際にはシャドーITや退職者アカウントの管理不足が発覚しました。
そして、シャドーITの放置はリスクになり得るということです。無料アカウントの利用が横行し、情報漏洩のリスクを高める要因となるので、しっかりとした対策が必要だと痛感しています。
また、SSOと連携しないSaaSのリスクも感じさせられました。SSOと連携されていないツールは管理が甘くなりがちです」
▼S社の事例を通じた学び
セキュリティ対策の現状把握が重要
クライアント先での情報漏洩が発覚したことで、自社のセキュリティ対策の状況を確認する動きが生まれた。ガバナンスを効かせる以前に、現状を正しく把握できていなかった点が課題として浮き彫りになった。
シャドーITやSaaS管理の難しさ
組織全体のSaaS利用状況を把握しきれていないケースが多く、分散管理されているツールの可視化が必要。社員の無意識なシャドーIT利用やアカウントの削除漏れが、セキュリティリスクを高める要因になっていた。
退職者・協力会社アカウントの管理強化が必要
退職者アカウントの削除が適切に行われていないケースがあり、前任者のアカウントをそのまま引き継ぐ事例も発覚。ADと連携して自動削除する仕組みはあるものの、協力会社のアカウント管理には改善の余地があった。
セキュリティ対策に経営者が関心を持ち、現状把握をする重要性
情報漏洩のリスクは、経営層の関心度によって対策の優先度が変わる。S社では経営層が情報漏洩のニュースを受けて自社の状況を見直したことが、シャドーITの可視化やアカウント管理強化のきっかけとなった。セキュリティ対策を有効に機能させるには、経営層が現状を正しく把握し、必要な対策に投資する意識を持つことが不可欠である。
SaaS管理がこれからますます重要に
S社の事例から明らかになったのは、「自社のSaaS管理ができていると思い込んでいたが、実際には多くのリスクが潜んでいた」という現実です。
特に、シャドーITの見落とし、退職者アカウントの管理不足、協力会社のアカウント使い回しといった問題は、多くの企業にも共通する課題ではないでしょうか。
このような問題を防ぐには、SaaS管理の一元化が欠かせません。
- シャドーITの可視化 – どのSaaSがどこで使われているかを正確に把握する
- アカウント管理の徹底 – 退職者や協力会社のアクセスを適切に制御する
- セキュリティ対策の強化 – SSOや特権管理を適切に設定し、ガバナンスを効かせる
私たちジョーシス株式会社は、これらの課題を解決するために、ITデバイスとSaaSの統合管理サービス「Josys」を提供しています。
Josysなら、SaaSの利用状況を可視化し、アカウントの管理を一元化することで、情シス部門の業務コスト削減とセキュリティレベル向上を実現できます。
「自社は大丈夫」と思っている今こそ、見直しのタイミングです。まずは、無料の資料請求から、SaaS管理の最適化を始めませんか?
Josysについて、より詳しく
ガバナンスを強化する、SaaS ID管理クラウド
