春は新入社員の入社や人事異動などにより、組織が大きく動く季節です。業務の引き継ぎや環境整備に追われるなかで、セキュリティ対策の見直しが後回しになってしまうケースもあります。
「セキュリティ機器を導入しているから大丈夫」と思っていませんか?
実は、企業のセキュリティ対策で見落とされがちなのが「アカウント管理」です。人の入れ替わりが多いこの時期は、アカウントの発行や削除、権限管理に抜け漏れが生じやすくなります。
この記事では、新入社員シーズンに見直したいアカウント管理の基本と、企業が押さえておきたいセキュリティ対策のポイントを解説します。
高額なセキュリティソフトより大切なもの
セキュリティ対策というと、高額なセキュリティソフトや機器の導入を思い浮かべる方も多いかもしれません。もちろんそれらも重要な対策ですが、それ以上に基本となるのが「アカウント管理」です。
どれだけ高度なセキュリティ製品を導入していても、アカウント管理が不十分であれば、攻撃者が正規のアカウント情報を利用してログインしてしまう可能性があります。
例えるなら、高価な鍵をかけていても、合鍵の管理が甘ければ意味がないのと同じです。
誰がアカウントを持ち、どのような権限を持っているのかを把握し、適切に管理することがセキュリティ対策の基本となります。
正規アカウントを悪用するサイバー攻撃
かつてのサイバー攻撃は、システムの脆弱性をついて侵入する、いわば「裏口からの侵入」が主流でした。しかし現在では、正規のアカウント情報を不正に入手し、通常のログインとして侵入するケースが増えています。
退職した社員のアカウントが削除されないまま放置されていたり、簡単なパスワードが使い回されていたりすると、こうした管理の隙を狙われる可能性があります。一度侵入されると、正規ユーザーと区別がつきにくく、被害の発見が遅れることも少なくありません。
さらに、ダークウェブと呼ばれる闇市場では、過去に流出したIDやパスワードが売買されていることがあります。攻撃者はそれらを入手し、自動ツールを使ってログインを試みます。
厄介なのは、正規アカウントでログインしているため、セキュリティ製品でも攻撃と判別しにくい点です。そのため現在のセキュリティ対策では、「誰がどのアカウントを使っているか」を正確に把握し、管理することが重要とされています。
そもそも「アカウント管理」とは何か
ここまでアカウント管理の重要性について触れてきましたが、「具体的に何を管理するのか」と疑問に思う方もいるかもしれません。ここでは改めて、基本から整理しておきましょう。
アカウントとは、一般的に「ID(ユーザー名)とパスワード」の組み合わせを指す言葉です。正しいIDとパスワードが分かれば、その利用者としてシステムにログインできてしまいます。
社内には、PCへのログイン、メール、グループウェア、Wi-Fi、VPNなど、さまざまなシステムのアカウントが存在します。これらを「誰が」「どのアカウントを」「いつから使っているのか」を把握し、適切に管理することがアカウント管理です。
アカウント管理の不備が招くリスク
アカウント管理が不十分な場合、企業にはさまざまなリスクが生じます。ここでは代表的な2つのリスクを紹介します。
不正アクセス時に原因を特定できない
アカウント管理が不十分だと、「誰が・いつ・何にアクセスしたのか」という記録を正確に追えなくなる可能性があります。
共有アカウントの利用や退職者アカウントの放置があると、ログを確認しても利用者を特定できないケースがあります。これは社内調査だけでなく、取引先や保険会社によるセキュリティ確認に対応できないリスクにもつながるため、注意が必要です。
取引先や保険会社のチェックに対応できない
近年では、サプライチェーン全体でのセキュリティ管理が求められるようになっています。そのため、取引先からセキュリティチェックシートの提出を求められるケースも増えています。
そのなかで、「入退社に伴うアカウント管理ルール」は重要な確認項目の一つです。また、サイバーリスク保険の加入審査でも、アカウント管理体制がチェックされることがあります。
今日から始める3つの基本対策
アカウント管理は、特別なシステムを導入しなくても取り組める基本的な対策です。この春から見直したい、3つのポイントを紹介します。
① 入退社時のアカウント管理を徹底する
人の入れ替わりは、アカウント管理の抜け漏れが発生しやすいタイミングです。以下の対応を徹底しましょう。
| 対応 | 詳細 | |
| 入社時 | 専用アカウント発行 | 部署や権限に応じた最小限のアクセス権を付与した個人専用アカウントを発行します。アカウントの使いまわしは禁止です。 |
| 退社時 | アカウント停止・削除 | 退職日には、使用していた全てのアカウントを直ちに停止し、一定期間後に削除します。 |
退職者のアカウントを放置しないことが重要です。
② パスワードルールを整備する
どんなに複雑なシステムでも、簡単なパスワードが使われていれば意味がありません。基本的なパスワード管理は、費用をかけずにできる重要な対策です。
- 推測されにくいパスワード(10文字以上など)を設定
- システム間におけるパスワードの使いまわしは禁止
- 従業員向けにパスワード管理の教育を実施
これらの基本ルールを、全社で共有することが大切です。
③ 多要素認証(MFA)を導入する
IDとパスワードだけでなく、追加の認証を組み合わせる方法が「多要素認証(MFA)」です。例えば、次のような方法があります。
| 認証アプリ(プッシュ通知) | Microsoft Authenticatorなどの認証アプリにログイン確認の通知が届き、本人が承認する方法です。SMSより安全性が高く、企業利用でも導入しやすいため、まず検討したい方法の一つです。 |
| SMS | スマートフォンに送られてくる確認コードを入力する方法です。導入しやすい一方で、安全性は低く推奨されません。 |
| 物理セキュリティキー | USBやNFC対応の専用機器を使って認証する方法です。フィッシングに強く、重要アカウントの保護に適しています。 |
| パスキー | 端末の生体認証やPINを使って本人確認を行う方式です。利便性と安全性を両立しやすく、今後さらに普及が見込まれています。 |
多要素認証を導入することで、パスワードが漏洩した場合でも不正ログインのリスクを下げることができます。
さらに重要なのは、こうした多要素認証を利用できる認証基盤に、社内のアカウントをできるだけ集約していくことです。
PCへのログイン、メール、グループウェア、Wi-Fi、VPNなどを個別に管理するのではなく、認証の仕組みを統一することで、運用負荷を抑えながら安全性を高めやすくなります。
特に、Microsoft 365 を利用している企業であれば、Microsoft Entra ID を中心にアカウント管理を整備していく方法は、現実的で有力な選択肢です。認証方法やアクセス制御をまとめて管理しやすく、セキュリティ対策と運用効率の両立につながります。
この春、アカウント管理を見直してみませんか?
情報漏洩リスクを完全にゼロにすることは現実的ではありません。重要なのは、万が一の事態に備えてリスクを分散し、被害の拡大を防ぐことです。
人の入れ替わりが多い春は、セキュリティルールを見直す良いタイミングでもあります。アカウント管理の体制を整理することで、企業のセキュリティ基盤を強化できます。
自社での対応が難しい場合は、ぜひ当社までご相談ください。情報処理安全確保支援士によるセキュリティ講習の実施や、認証基盤の整備、多要素認証の導入支援など、アカウント管理の環境づくりをサポートいたします。
