人事異動でアカウント管理は大丈夫? 情報漏えいを防ぐID・権限管理のポイント
入社や退職も含めた人事異動は、企業のID・権限管理における大きなリスク要因となります。IDや権限が適切に管理されていないと、異動後も不要な権限が残ったり、退職者のアカウントが放置されたりするため、内部不正やサイバー攻撃のリスクとなります。本稿では、人事異動におけるID・権限管理の課題とリスクを整理して、企業が採るべき具体的な対策を解説します。
1.人事異動に潜むアカウント管理のリスク
DXの推進や働き方の多様化に伴い、業務で利用するシステムは増加しています。それにつれて、利用者のIDや権限などのアカウント管理はますます複雑化しています。アカウント管理を適切に行っていないと、企業は思わぬセキュリティインシデントに見舞われることがあります。例えば、異動後に放置されている不要な権限が内部不正を誘発したり、不満をもって退職した者が放置されているアカウントを悪用して情報漏えいを引き起こすことになるのです。このような人事異動などに伴うアカウント管理の課題と、それがセキュリティに及ぼす影響について解説します。
1-1.なぜアカウント管理が徹底されないか
人事異動や従業員が退職したときに、アカウントが適切に管理されておらず、企業にとってセキュリティリスクとなっていることが少なくありません。ずさんなアカウント管理は内部不正やサイバー攻撃による情報漏えいなどのセキュリティインシデントの原因となり得ます。しかし、徹底したアカウント管理を実現するのは非常に困難であるというのが現状です。
DX化の推進や働き方の多様化が進んだことにより、クラウドサービスの利用やリモートワークにより業務を行う機会が増加しました。さらに、契約社員や業務委託といった、雇用形態の多様化も多くの企業で見られます。VPNやクラウドサービスのアカウント管理が一元化されておらず、社内システムと外部サービスへのアクセス制御が統合されていない企業も少なくありません。加えて、買収や組織統合が行われると、異なるアカウント管理のシステム及びルールが混在し、複雑さが増してしまうこともあります。
このような状況から企業内でアカウントを適切に管理することは非常に難易度が高くなっています。さらに、アカウントが足りない場合には業務上困るので申請されますが、人事異動等により不要となった場合は、インシデントが起こるまで誰も困らないので、ライセンス数を絞りたいなどの動機がない限り放置されがちです。また、アカウント管理は担当者が手作業で行っていることが多く、権限変更の見落としや過剰な権限付与などの事態が起こりやすくなっているのです。
1-2.内部不正のリスク
アカウントが適切に管理されていない典型の1つに人事異動後もアクセス権限が変更されないことがあります。人事異動後もアクセス権限をそのままにしていると、かつて所属していた部署のサーバーやサービスへアクセスしてデータを取得することが可能です。こういった状況は企業にとって大きなリスクとなります。
外部からの不正アクセスであれば、導入したセキュリティシステムによって排除できる可能性があります。しかし、権限を変更していないアカウントであれば、正規の認証情報を持っているため検知や排除が困難です。そのため、認証されたアカウントとしてアクセスし、本来であれば権限のない内部情報を閲覧できてしまいます。
そもそも、このような内部不正は正規の利用者でも起こす可能性はあります。しかし、不要な権限が放置されてなければアクセス可能な人数が少なくなるため、内部不正が発生する可能性は確率として下がります。さらに、異動した先の者は組織管理の目が行き届かず、例えば、金に困っている等の動機を察知できる可能性も低くなります。このような内部不正により取得した機密情報は適切に管理されないおそれがあり、さらに従業員に悪意があった場合、外部へと持ち出されてしまうリスクもあるのです。
1-2.サイバー攻撃に悪用されるリスク
放置されているアカウントは、サイバー攻撃者にとって格好のターゲットになるでしょう。長期間使用されていないアカウントは、悪用されても気づきにくいためです。
近年のサイバー攻撃は情報収集に時間をかけて、最終的に大きな被害をもたらす手法が増えてきています。放置されたアカウントを悪用して機密情報を盗み出すだけでなく、ランサムウェア攻撃などのさまざまなサイバー攻撃を仕掛けるおそれがあります。ECサイトやWebサービスを提供している企業では、サイバー攻撃によって顧客情報が流出してしまうと、事業の存続すら危うくなることがあります。また、システムやネットワークの連携次第では、サプライチェーンを構成する、ほかの企業へサイバー攻撃を仕掛けられることも考えられます。そのため、アカウント管理は自社だけでなく、取引先への影響も考えて適切な対策を選定することが重要です。次からは、適切にアカウントを管理するための対策アプローチを解説します。
2.ID・権限管理の適切な対策アプローチ
セキュリティインシデントを避けるには、どのようにしてID・権限の管理を行えばよいのでしょうか。適切にアカウント管理を行うために必要な、ポリシーや体制の明確化、定期的な棚卸しの実施、従業員教育、ツール活用といった対策アプローチについて解説します。ID・権限の管理に課題を感じている企業は、ぜひ取り組んでみましょう。
2-1.アカウント管理ポリシーや体制の明確化と定期的な棚卸し
企業が適切なID・権限管理を行うには、まず、不要なアカウントや誤った権限設定を早期に発見できるようポリシーを定め、役割を体制として明確化する必要があります。そして、策定したアカウント管理ポリシーに沿う形で定期的に不要なID・権限を棚卸しします。これにより、不要なアカウントや不適切な権限の放置を防げるようになります。
2-2.従業員向けセキュリティ教育
社内研修やeラーニングなどによる、従業員への継続的なセキュリティ教育も欠かせません。担当部署が適切にアカウント管理をすることも重要ですが、システムを利用する従業員一人ひとりのセキュリティ意識を向上し、不要なアカウントの削除申請が徹底されることも重要なのです。
2-3.アカウント管理ツール活用
また、近年ではクラウドサービスの活用やリモートワークの普及により、社外からのアクセスが日常化しています。こういった状況に対応するため、多要素認証(MFA)の導入やクラウドサービスのアクセス管理を強化するといった施策も必要です。さらに、手作業によるミスを軽減し、不正アクセスや異常な操作を検知できるよう、ID管理の自動化やアカウントのモニタリングを強化といった体制の構築も有効です。
ID・権限の管理を手作業で行っていると、設定ミスや管理漏れが発生してしまいます。特に従業員数の多い企業では作業量が多いため、アカウントの発行・削除や権限変更を人手で対応するには限界があるでしょう。膨大なID・権限管理の業務をミスなく、適切に行うには、ID管理ツールの導入がおすすめです。
特に重要なのは、リアルタイムのアクセス監視と自動的対策を実現する仕組みです。ID管理ツールを導入することで異常なアクセスや不正の兆候を即座に検知し、自動でアカウントをロックする、管理者に通知するといった対応が可能になります。これにより、人的リソースに頼ることなく、早期のリスク対処が実現できるのです。また、ID管理ツールにはアカウントのライフサイクル管理を自動化する機能もあり、入社・異動・退職といったタイミングに応じてアカウントを作成・変更・削除する一連の流れを効率的に運用できます。
さらに、権限の棚卸しや監査対応を支援する機能も搭載されているため、定期的な点検やレポート作成も容易になります。企業の環境に合わせてカスタマイズできるID管理ツールを選定することで、セキュリティと効率化の両立が可能になります。
3.アカウント管理のためのGSXサービス
人事異動や退職時のアカウント管理に潜むリスクに対して、GSXではさまざまなサービスを提供しています。これらサービスにより、どのようにしてID・権限の適切な管理を実現できるのかを紹介します。
3-1.ポリシー整備
適切にアカウント管理を行うのであれば、その基盤となるセキュリティポリシーの策定が重要です。セキュリティポリシーにより、リスクを考慮してアカウント管理にどこまで対策コストをかけるべきか、明確化(文書化)すべきです。しかし、セキュリティポリシーをゼロから文書化するのは、多くの時間や手間がかかり、ノウハウの不足により不十分な内容となる恐れもあります。
GSXの「情報セキュリティ文書雛形パッケージ」は、情報セキュリティポリシーの明確化に必要な文書雛形を提供するサービスです。この文書雛形を自社のポリシーとしてチューニングをすることで、事業環境に適したセキュリティリスク管理が可能となります。
さまざまな業種、規模の企業を支援してきたGSXの知見が反映されており、情報セキュリティ文書として、抑えておくべき項目が網羅されています。アカウント管理は1テーマですが、基本的な事項は文書雛形に規定されています。アカウント管理について、より掘り下げた内容を規定するために、アドバイザリオプションを活用し、追加例を入手するなどの方法もあります。
3-2.セキュリティリスク監視ツール
サイバー攻撃は高度になり、またその被害が自社だけでなくサプライチェーン全体にまで及ぶようになっています。セキュリティチェックリストの回答などの方法では、最新のサイバー攻撃に関するリスクは可視化しきれない場合があります。
自社のセキュリティリスクが外部から見て、どのような状態なのかを把握するのは困難です。そこでおすすめなのが、GSXの「SecurityScorecard」を利用したサプライチェーン強化支援サービスです。これは、攻撃者の視点から自社のセキュリティを把握できるサービスで、継続的にセキュリティの状況をモニタリングすることで、攻撃されにくい環境を維持し続けられます。
SecurityScorecardが監視する項目は多岐にわたりますが、そのなかにカウントの情報漏えいも含まれています。アカウントの情報漏えいは、攻撃者の侵入に直結する重大なセキュリティリスクです。アカウントの情報漏えいが発覚したら、即座に該当するアカウントを削除するなど適切な対処が必要になります。こういったセキュリティリスクを、継続的にSecurityScorecardでモニタリングを続けることで軽減できるのです。
3-3.ID管理を最適化するツール「CrowdStrike Falcon Identity Protection」
GSXが提供する「CrowdStrike Falcon Identity Protection(IDP)」は、IDの保護を目的としたクラウド型のソリューションです。Active Directory(AD)やAzure ADの認証トラフィックを常時監視し、ユーザーの行動をAIが継続的に分析、通常の認証パターンから逸脱した動きがあれば即座に検知し、リスクレベルに応じた対応を自動で行います。また、組織ごとに独自のポリシーを設定でき、設定した条件に基づいて認証をブロックしたり、多要素認証(MFA)を強制したりといった対処を自動的に実施します。
そのほかにも、IDPを導入することで設定したパスワードが過去に漏えいしたパスワードリストに含まれている、ゲストアカウントが有効化されている、一部ユーザーに重要な特権が与えられている、長期間使用されていないユーザーアカウントが存在するなど、企業が抱えているID・権限管理のリスクを明らかにできます。
また、IDPは既存のネットワーク構成に、大きな変更を加えることなく導入できるのも大きなメリットです。ID・権限管理に課題を感じている企業におすすめしたいソリューションです。
3-4.その他の関連サービス
GSXではID・権限管理のほかにも、企業のセキュリティ体制を支えるサービスを提供しています。ここでは、次の3つのサービスを紹介します。
●SaaS型 次世代SIEMプラットフォーム Exabeam
セキュリティ運用を効率的・効果的に行うためのセキュリティプラットフォームです。AIを活用して、ユーザーと機器が通常より逸脱した行動をすると、インシデントとして検知します。迅速に検知することで早期兼、早期対処が可能になります。
●情報セキュリティアセスメントサービス
企業のセキュリティ状況の調査を実施し、分析・評価を行って結果を報告書として作成するサービスです。このサービスを利用することで、影響の大きなリスクやその対策方法、対応優先順位を明らかにできます。
●情報セキュリティ階層別教育/MinaSecure
GSXのセキュリティコンサルタントが監修した、クラウド型の情報セキュリティeラーニングサービスです。わかりやすい言葉を用いて従業員のセキュリティ教育を行い、セキュリティ意識の向上を実現します。
これらのサービスを導入することで、より強固なセキュリティ体制を構築できるでしょう。
まとめ:CISOが今すぐ取り組むべきこと
最高情報セキュリティ責任者(CISO)には、企業全体のセキュリティ体制を構築し、日々変化するリスクに迅速かつ的確に対応することが求められます。中でもID・権限管理は、内部不正や情報漏えいの発生を防ぐうえで極めて重要な領域です。
人事異動や退職といったタイミングでアカウントの見直しを怠れば、意図しないアクセス権限の放置につながり、重大なインシデントの引き金となりかねません。にもかかわらず、手作業による運用には限界があり、対応の遅れがリスクを拡大させてしまいます。
GSXのサービスを活用すれば、こうしたリスクを効果的に低減できます。ID・権限管理に課題を感じている方は、ぜひGSXまでご相談ください。
関連情報
計画的なサイバーセキュリティへの取り組み方と適切な予算の確保
ランサムウェアによる企業への身代金要求など、サイバー攻撃による被害の報告が相次いでいます。企業にとってサイバーセキュリティへの取り組みは、ますます重要な課題となっています。ただし、セキュリティの脆弱な部分を特定して対策を立て、適切なセキュリティ予算を確保することは簡単ではありません。サイバーセキュリティは直接的な利益を生み出しませんが、IT活用のリターンとのバランスで対策投資を考えることが重要です。本記事では、将来を見据えたサイバーセキュリティ対策の計画方法や、そのための予算確保における重要なポイントについて解説します。
企業のサイバーセキュリティ対策は急務!:実現可能な管理のステップとは?
DX推進やリモートワークの普及など企業のIT環境が大きく変化することで、セキュリティの脆弱性が生じます。例えば、コロナ禍によりあわてて設置したVPN装置の不適切な管理により、放置されている脆弱性を悪用して侵入され、ランサムウェア被害に及んだ、等のサイバーセキュリティインシデント事例が相次いでいます。企業にとってサイバーセキュリティ対策は急務ですが、明確な指針がない、人的リソースが足りないなどの理由で、どこから手をつけたらよいのか、どのように進めればよいのかがわからないというIT担当者、セキュリティ担当者は少なくありません。そこで、多くの中堅企業において実現可能なサイバーセキュリティ管理に着手・継続するためのステップを解説し、それぞれのステップにおけるGSXのサポートについても紹介します。
ランサムウェアインシデントの教訓―最新事例から学ぶ効果的なセキュリティ対策とは
世界中の企業がランサムウェアによるサイバー攻撃を受けています。攻撃者は企業の脆弱性を悪用して侵入、ランサムウェアでシステムの情報を暗号化し、身代金を要求します。要求を断ればシステムを復旧できないだけでなく、盗んだ情報を公開すると更なる脅迫を行うこともあります。ランサムウェアの脅威は、日本も例外ではありません。2024年には出版・インターネットコンテンツサービスを提供する大手企業が被害にあい、大きなニュースになりました。それ以前にも、名古屋港、トヨタ自動車の関連会社などにおいて深刻な被害の発生が近年相次いでいます。これらの事例を紹介しつつ、どのように対策・対応すべきかを考えていきましょう。
セミナー・イベント
【GSX主催ウェビナー】
中小企業向けISO/IEC 27001:2022(ISMS)取得のポイント~取得時に最も工数がかかる”セキュリティ文書作成”を支援するGSX最新版オリジナル文書テンプレートのご紹介~
開催日時:2024年2月16日(金)11時00分~11時50分
【GSX主催ウェビナー】
工場セキュリティの確保は経営課題!抑えておくべきポイントとは?~製品のライフサイクルにおけるセキュリティを考えていくための視点~
開催日時:2024年2月2日(金)11時00分~11時50分
【網屋/GSX共催ウェビナー】