企業内でのアカウント管理の重要性は広く理解されつつも、情報システム部門と経営層・他部門との間で認識のズレが生じることは少なくありません。さらに、さまざまな企業でもセキュリティ事故が続くなか、自社の課題や対策を把握するのは簡単ではないのが現状です。
「ジョーシスラーニング」では、企業の情報システム部門が直面したリアルな課題や、それにどう向き合ったのかについて、それぞれの事例をより多くの経営層や担当者へ届けたく、インタビュー企画を実施しています。
このインタビュー記事の目的は、現場の担当者には「自社のアカウント管理が本当に適切に運用されているか?」と改めて見直すきっかけを提供し、経営層には内部不正のリスクに目を向け、より適切な管理体制の構築を促すことです。
企業のセキュリティ対策をより実効性のあるものへと進化させるためのヒントを提供したいと考えています。
今回お話を伺ったK社については、以下のとおりです。
【K社様インタビュー概要】
業種:情報・通信系
従業員数:約200名
インタビューの背景:
以前は、情報システムの管理を1人の担当者が担っていたが着任して間もないこともあって、十分に機能していない状態だった。そこで、新たに加わった担当者が中心となり、K社のシステム全般に対するセキュリティ対策を進めることになった。インタビューではこの担当者にお話を伺った。
それでは、K社の事例を見ていきましょう。(ジョーシスラーニング編集部)
他社の情報漏洩を見て、情報漏洩の一番の脅威は内部と感じていた
ーー 全社のシステムのセキュリティ対策を進めるにあたり、最初のきっかけは何でしたか?
前職の時に著名な企業で発生したセキュリティ事故が考え方を改める大きなきっかけでした。特に、退職者アカウントが削除されずに残り、そこから情報が持ち出されるケースは少なくありません。こうした事例をもとに、「当社では適切な対策ができているのか?」と見直しを始めました。リスクを可視化し、優先的に対応すべき課題を整理するところからスタートしました。
教育系サービスのA社の情報漏洩事件を近くで見ていた
ーー 他社の情報漏洩事例を参考にしたとのことですが、特に印象に残っているケースはありますか。
セキュリティ強化のきっかけとなったのが教育系サービスのA社の情報漏洩事件でした。私は前職でA社の競合となる企業にいたため、この事件を間近で見て、対岸の火事ではなく改めて内部からの情報漏洩の危険性を強く意識するようになりました。
【A社情報漏洩事件の概要】
2014年、大手教育系サービスのA社で約2900万人分の個人情報が流出する大規模な事件が発生しました。流出したのはA社が提供する通信教育サービスを利用する子どもの名前や生年月日、住所、親の連絡先など、機密性の高い情報でした。この事件は社会に大きな衝撃を与え、A社のブランドイメージや株価にも深刻な影響を及ぼしたとされます。
主な原因は、外部委託されたシステムエンジニアがデータベースのアクセス権を悪用し、不正に顧客情報を持ち出したことでした。
また、同社のセキュリティ対策や外部委託先の管理体制が不十分だったことも、被害拡大の要因とされています。この事件は、日本企業における情報管理の課題を浮き彫りにし、情報セキュリティの強化が求められる契機となりました。
当社では物理デバイスの紛失リスクは少ないため、アカウント管理や権限管理の不備による情報漏洩に注目しました。クラウドサービスを多く活用しているからこそ、適切なアカウント管理が最優先課題だと考えました。
個人情報漏洩の事例をまとめたサイトの情報をもとに、「自社でも起こりうるリスク」を洗い出した結果、早急に対策を講じることが重要だと判断しました。
【ポイント】現状のリスクポイントの洗い出し・可視化が重要
他社の情報漏洩事例を参考にして、自社のリスクを可視化し、優先的に対応すべき課題を整理することで重要性が浮き彫りになります。特に、内部からの情報漏洩リスクは見落とされがちであり、退職者アカウントの削除漏れや権限管理の不備が大きな脅威となります。
内部不正こそが最大のリスクであると感じていた
ーー 特にリスクを感じたポイントはどこでしたか?
一番の懸念は、外部攻撃よりも内部からの情報漏洩でした。クラウドストレージの普及で、無料で利用できるサービスが増え、社員が気軽にデータを持ち出せる環境になっています。悪意がなくても情報が外部に流出するリスクがあるのに、もし意図的に持ち出そうとする人がいたら防ぎきれません。
外部からの攻撃は確かに脅威ですが、成功させるには高度な技術が必要で、難易度が非常に高いです。
一方で、内部の人間はすでにシステムにアクセスできる状態なので、気づかれずに情報を持ち出すことが可能です。そう考えると、内部統制を強化しないと危険だと強く感じました。
自社のリスクを把握しようと思った
ーー セキュリティ部門を立ち上げるにあたり、どこから着手しましたか。
当時、 アカウント管理の不備が情報漏洩につながる可能性があったので、チェックリストを作成し、社内の具体的なリスクの洗い出しを始めました。
他社の情報漏洩事例を分析し、共通の課題を抽出したところ、退職者アカウントの削除漏れや権限管理の不備が大きなリスク要因であることが分かりました。
さらに、各部署が持つ情報を整理し、どの部署でどういう情報を管理していて、どのようなリスクがあるのかを明確にしました。
ーー その後、リスク管理はどのように進めましたか。
各組織長とミーティングを行い、具体的にツールに落とし込むことでSaaSの利用状況を洗い出しました。ただ、組織長が把握しているのは部署単位の利用ツールだけで、個人利用の外部サービスまでは網羅できません。そこで、外部システムを活用して、不必要なものを排除する仕組みを作りました。
【ポイント】リスク管理には 可視化と定期的な見直しが不可欠
組織単位だけでなく、個人レベルの利用状況も監視し、不要なサービスの排除や権限管理の徹底を図ることで、情報漏洩リスクを最小限に抑えることが重要です。
経営層と現場で管理のギャップがあった
ーー 経営層と現場の間で、セキュリティに対する認識のギャップを感じたことはありますか。
ありました。経営層は「MDM(※1)やアカウント管理ツールを導入しているからセキュリティ対策は十分」と考えていました。しかし、実際にはMDMは導入されているだけで活用されておらず、アカウント管理も形骸化している状態でした。つまり、ツールを導入して満足し、実際の運用が伴っていない状況だったのです。
そこで、経営層に「導入しただけでは意味がなく、運用が伴わなければセキュリティ対策にならない」ことを伝えました。他社の事例と比較し、アカウント管理の棚卸しやセキュリティパッチの適用など、具体的な運用の不足点をリストアップしました。それがどのようなリスクにつながるかを示すことで、経営層の理解を得るよう努めました。
ーー 経営層の反応はどうでしたか。
最初は「MDMもEDR(※2)も導入しているのに、セキュリティ対策はできているのでは?」という反応でした。しかし、具体的なデータとリスクシナリオを示すことで、何を優先的に改善すべきかを理解してもらうことができました。その結果、現場での運用を強化し、セキュリティ対策が実効性を持つよう改善されました。
【ポイント】セキュリティは ツールを導入して終わりではなく、継続的な運用と監査が不可欠
経営層と現場の意識を一致させ、実際にリスクを管理できる体制を構築することが重要です。
(※1)MDM(Mobile Device Management):とは、企業や組織がスマホやタブレットなどの端末を一元管理し、セキュリティ強化や設定管理を行う仕組み。
(※2)EDR(Endpoint Detection and Response):端末(PCやサーバー)におけるサイバー攻撃を検知・分析し、迅速に対応するセキュリティ対策のこと。
それまでの管理・運用の実態
ーー では、配属前のアカウントの管理は、どのようにされていましたか。
かなり管理が不透明で属人化していました。情報システム部門には1人しかおらず、全体でどのツールが使われ、どれだけのアカウントが払い出されているのかが把握できていませんでした。
アカウントを管理する台帳は一応存在していましたが、適切に更新されていたかは怪しく、ブラックボックス化していました。正社員のアカウント管理すら不明瞭で、特定の担当者しか把握できていない属人的な運用になっていたのです。
上場のための最低限のセキュリティ対策として、MDMやEDRは導入されていましたが、モニタリングや監査までは十分に実施されていませんでした。対策を入れたことで満足し、実際の運用やログの監視が不十分な状態でした。
MDMは主にワイプやロック用途として見られ、資産管理ツールはJamfのログで代替する方針が取られていました。
ーー SaaSの管理についても課題があったのでしょうか。
公式にリスト化されたSaaSはあっても、会社が関知していない個人で使用しているツールまで把握できていなかったため、全社的な可視化ができておらず、シャドーITに対するリスクの所在すら明確にできない状態でした。
そこで、現状の可視化を徹底し、どこにリスクがあるのかを明確にすることから始めました。やったつもりになっていた管理を見直し、適切な運用ができるよう整理を進めました。
【ポイント】管理は「導入」ではなく「運用」が重要
ブラックボックス化を防ぐため、全体の可視化を徹底し、定期的な見直しを行うことで、属人化やリスクの見落としを防ぎ、より安全な管理体制を確立することが必要です。
セキュリティを強化:権限管理の見直し
ーー セキュリティ強化の一環として、権限管理を見直されたそうですが、その背景を教えてください。
以前は情報システム部門がすべての権限を管理していましたが、それは「情シスは不正をしない」という前提に立っていました。しかし、会社全体でセキュリティを考えると、情シスだけ例外扱いするのはリスクだと判断しました。
そこで、権限を分散管理する方針に切り替えました。例えば、会計システムは経営管理部門が管理し、情シスはアクセスしない。これにより、情報システム部門が 不要なデータにアクセスできるリスクを削減し、各部署が責任を持って管理できる体制を整えました。
ーー ただ、分散管理にすると可視化が難しくなるのではないでしょうか。
そこで ジョーシスのようなツールを活用し、情報システム部門が直接権限を持たなくても、全社的にシステム利用状況を把握 できる仕組みを作りました。シャドーITの放置は防ぎつつ、情シスの役割を統制と監査にシフトさせることでバランスを取っています。
【ポイント】「情シスは安全」という前提はリスク
情報システム部門だけでなく、各部署が責任を持って管理し、不必要なアクセスを防ぐ体制を整えることが重要です。ただし、分散管理による可視化の難しさを解消するために、ツールを活用して全社的なシステム利用状況を把握する仕組みを構築し、統制と監査のバランスを取ることが求められます。
特権アカウントの管理とリスク回避
ーー 特権アカウントの管理を見直したとのことですが、どのような課題がありましたか。
以前は特定の担当者に依存しており、その人が異動や退職するとアクセスできなくなるリスクがありました。そこで、特権アカウントを共有アカウントとして管理し、アクセスログを監視する仕組みに変更しました。IPA(※3)や総務省のガイドラインでは共有は推奨されていませんが、ログのモニタリングとアクセス監査を強化 することで適切に管理できると判断しました。
その上で、中央集権的にせず、必要な部署が適切に管理できる体制を整えました。情シスの権限を抑えつつ全社的な統制を維持し、リスクを最小限に抑える仕組みを構築しました。
ーー 具体的にはどのような施策をとりましたか。
特権アカウントをシステムアドレスに変更し、多要素認証(MFA)(※4)を強制適用 しました。
会社で共用のMFAデバイスを購入し、施錠管理することで、物理的なアクセス制限を設けました。また、退職や異動のたびにパスワードを変更し、不正利用を防ぐ運用にしています。
【ポイント】特権アカウントは適切に分散管理し、ログ監視を徹底
特定の担当者に依存しない仕組みを整え、異動や退職による業務停止リスクを軽減する必要があります。中央集権的な管理を避けつつ、全社的な統制を維持するバランスを取ることが、セキュリティと業務の継続性を両立する鍵となります。
(※3)IPA(情報処理推進機構):日本の経済産業省のIT政策実施機関で、情報セキュリティやIT人材育成、技術開発支援を行う組織
(※4)多要素認証(MFA):パスワードに加え、指紋やワンタイムコードなど複数の要素を用いて本人確認を強化する認証方式。
休職者のアカウント・デバイスを停止する運用へ
ーー 以前は休職者のアカウント管理が曖昧だったとのことですが、どのような課題がありましたか。
休職者がPCを返却せず、アカウントも停止されないまま休職に入るケースが多かったです。どのツールを使って連絡を取るのかも決まっておらず、休職中でもアクセスできる状態が続いていました。これはセキュリティ上のリスクが高いため、改善が必要だと判断しました。
ーー 現在はどのように運用されていますか。
休職の理由を問わず、アカウントとデバイスを停止するルールに統一しました。表向きは「業務ではなく療養や育児に集中してもらうため」ですが、実際にはセキュリティリスクの軽減が主な狙いです。
これについては、人事側からの反対意見もありました。しかし、アカウントを残すリスクと比較し、セキュリティを優先しました。こちらから代替案を提案し、対応しました。
【ポイント】休職者のアカウント放置は見落とされがちなリスク
休職中もシステムにアクセスできる状態では、不正利用や情報漏洩のリスクが高まります。そのため、明確なルールを策定することが重要です。業務上の連絡手段は別途用意しつつ、セキュリティを最優先に考えた運用へ見直す必要があります。
退職者アカウントの管理を自動化
ーー 以前の退職者アカウントの管理はどのような運用でしたか。
人事から退職情報を受け取った後、情報システム部門が手作業で削除していました。しかし、この方法では 担当者による抜け漏れが発生する可能性があり、実際に削除漏れが確認されたケースもありました。
現在ではジョーシスを活用し、退職者の削除予約を事前設定できるようにしました。自動削除の仕組みを導入し、業務委託や派遣社員も含めた一元管理のルールを整えています。これにより、退職日の翌日0時にアカウントが自動削除され、手作業のミスを完全になくしました。
手作業では避けられない抜け漏れを防ぎ、内部不正のリスクを低減することができました。
【ポイント】退職者アカウントの放置は内部リスクを高める
手作業による削除はミスが発生しやすいため、システムを活用し、退職者アカウントを自動的に削除する仕組みを導入することが重要です。適切なツールを活用し、アカウント管理を効率化することで、より確実な運用が可能になります。
SSOの導入と定期的な棚卸しの実施
ーー SSO(※5)の導入を進められた背景を教えてください。
以前はサービスごとに個別のログイン情報を管理していたため、パスワード管理の負担が大きく、パスワードが使い回されることによるセキュリティリスクも高い状態でした。SSOを導入することで、アカウント管理を一元化し、不要な権限を適切に制御することを試みています。現時点では、退職者や異動者のアカウント削除もスムーズになる見立てができています。
ーー 定期的なアカウント管理の見直しも実施しているそうですが、具体的な取り組みは?
年1回、各組織長とのミーティングを実施し、アカウント台帳との照合を行うことで実態とのズレをチェックしています。また、内部監査としても年1回のアカウント管理の見直しを行い、不要な権限が残っていないかを確認しています。
(※5)SSO(Single Sign-On):一度のログインで複数のシステムやサービスにアクセスできる認証方式。パスワード管理の負担を軽減し、セキュリティを強化する。
個人利用のSaaSのモニタリングとMDMの活用
ーー SSO導入後の管理強化として、どのような取り組みをされていますか
SSOの導入に加え、個人利用のSaaSや外部ストレージの監視を強化しました。ジョーシスやSASEを活用し、不正なデータ持ち出しや不適切なクラウドストレージの使用をモニタリングしています。
ーー MDMも活用されていると聞きましたが、具体的にどのような運用をしていますか。
アクセスログの確認、アクセス制御、OSのアップデート管理、アラート管理を徹底 しています。例えば、許可されていないデバイスやIPアドレスからのアクセスを制限し、セキュリティパッチの適用状況を常に監視。異常な挙動があれば即時通知し、迅速に対応できる体制を整えました。
【ポイント】SSOでの統制強化に加え、SaaSやデバイスの監視を徹底することでセキュリティリスクを軽減
アクセスログやデバイスの利用状況を可視化することで、リスクを最小限に抑えます。さらに、MDMを活用し、アクセス制御やOSのアップデート管理を徹底することで、不審な挙動を即座に検知し、迅速な対応が可能な体制を構築することが求められます。
ガバナンスの強化とリスク管理の確立
ーー 「ガバナンスが効いた」と実感したのは、どのようなタイミングでしたか。
大きなポイントはクラウドストレージの制御ができるようになったことです。誰がどのデータにアクセスできるのかを正確に把握し、不要なアクセスを制限できるようになりました。また、アカウント管理の基準に濃淡をつけるルールを策定できたことも重要でした。
例えば、個人情報の入っていないシステムのモニタリングに使用するツールのアカウントは、万が一退職者のアカウントが残っていたとしても、重大な被害を引き起こすリスクは低いため、管理を厳しくしすぎる必要はありません。一方で、個人情報を扱うシステムのアカウントは、不正アクセスによる情報漏えいのリスクがあるため、厳格な管理が求められます。
このように、システムごとのリスクに応じて適切な管理レベルを設定し、それを全社的にルールとして運用できるようになったことが、ガバナンス強化の大きな成果だと考えています。
ーー すべてのリスクを把握し、適切に管理できる状態になったということですね。
リスクの所在と重要度を明確にし、必要な対策を的確に実施できるようになりました。結果として、セキュリティ対策が形骸化せず、実効性のあるものに進化したと考えています。
▼K社の事例を通じた学び
1. 内部不正のリスクを前提とした管理体制の構築
K社は、情報漏洩の最大のリスクは外部攻撃ではなく内部不正であると認識し、対策を強化しました。クラウドストレージの普及により、社員が意図せず情報を持ち出すリスクが高まる中、不要なアクセス権限の削除やアカウントの適切な管理を徹底しました。特に、休職者や退職者のアカウント管理を強化し、削除の自動化を実施することで、内部からの情報流出を防ぐ仕組みを整えました。
2. 経営層と現場のギャップを埋めるための可視化と運用改善
経営層は「ツールを導入すれば安全」と考えがちですが、K社は運用の不備がリスクにつながることをデータで示し、意識改革を促しました。実態とのズレを検証することで、セキュリティ対策を形骸化させない仕組みを確立しました。
3. 情報システム部門の「当たり前」がリスクになる可能性を認識
K社は、情報システム部門がすべての権限を管理する中央集権型の体制がリスクを生む可能性があると判断して分散管理へ移行し、必要な部署が責任を持つ体制を整えました。さらに、情シスの役割を統制と監査にシフトし、ツールを活用することで管理の透明性を高める工夫も行いました。
SaaS管理がこれからますます重要に
K社の事例から明らかになったのは、「内部不正のリスクを前提とした管理体制の構築が必要である」ということです。
セキュリティ対策というと外部からの攻撃をイメージしがちですが、内部不正のほうがはるかにリスクが高いのです。退職者アカウントの管理や休職者のアカウントの扱いは、多くの企業にも共通する課題ではないでしょうか。
このような問題を防ぐには、SaaS管理の一元化が欠かせません。
- シャドーITの可視化 – どのSaaSがどこで使われているかを正確に把握する
- アカウント管理の徹底 – 退職者や協力会社のアクセスを適切に制御する
- セキュリティ対策の強化 – SSOや特権管理を適切に設定し、ガバナンスを効かせる
私たちジョーシス株式会社は、これらの課題を解決するために、ITデバイスとSaaSの統合管理サービス「ジョーシス」を提供しています。
ジョーシスなら、SaaSの利用状況を可視化し、アカウントの管理を一元化することで、情シス部門の業務コスト削減とセキュリティレベル向上を実現できます。
「自社は大丈夫」と思っている今こそ、見直しのタイミングです。まずは、無料の資料請求から、SaaS管理の最適化を始めませんか?
Josysについて、より詳しく
ガバナンスを強化する、SaaS ID管理クラウド
