見過ごせない情報漏えいのリスク―ゼロトラスト時代のID管理に求められる対策ポイント

クラウド化と人材の流動化が進む現代、多くの企業でID管理が複雑化している。退職者IDの削除漏れなどが深刻な情報漏えいリスクとなり、企業の利益等に影響を及ぼす事態にもなりかねない。SaaS利用の拡大により増え続けるIDを前に、企業はどうID管理のセキュリティを強化すべきだろうか。

※この記事は、2026年1月6日に「ビジネス+IT」に掲載されました

目次
  1. ID管理に潜む、見過ごせない情報漏えいリスク
  2. ゼロトラスト時代のID管理に必要不可欠な「IGA」とは
  3. ID管理の課題を解決するIGAの3つの重要ポイント
  4. IGA導入の現実的な選択肢とIIJのソリューション
  5. IDセキュリティは次なるステージへ

ID管理に潜む、見過ごせない情報漏えいリスク

独立行政法人情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2025」によると、「内部不正による情報漏えいなどの被害」は10年連続で上位にランクインする深刻な問題だ。特に近年、SaaSの普及やリモートワークの定着により、企業のセキュリティ対策は大きな転換点を迎えている。

従来は社内ネットワークという“境界の内側”を守る「境界型防御」が主流だったが、今やあらゆるアクセスを信頼しない「ゼロトラスト」の考え方が一般的になった。IDセキュリティにも「ゼロトラスト」の考え方が反映され、より高度な制御が求められている。

しかし、クラウド化の促進により管理すべきIDは増え続けている。また、転職ハードル低下による人材の流動性の高まりが、ID管理の業務負荷に拍車をかけている。

多くの情報システム部門では、従業員の入社や異動、退職のたびに、複数のSaaSやシステムに対するIDの発行や権限変更、削除の対応に追われるが、すべて自動化できているわけではなく、手作業で行っているのが実情だ。SaaSやシステムの数と従業員数が多くなれば、作業は煩雑さを極め、人的ミスも起こりやすくなる。特に問題となるのが、退職者IDの削除漏れだ。悪意ある元従業員が放置されたIDを悪用する「お土産転職」や、外部の攻撃者に乗っ取られるといったリスクが顕在化している。

では、どうすればこの課題を根本的に解決できるのか。

ゼロトラスト時代のID管理に必要不可欠な「IGA」とは

増え続けるIDとそれに伴うリスクへの対策として注目されているのが、Gartnerが提唱した「IGA(Identity Governance and Administration)」というソリューションだ。

インターネットイニシアティブ(IIJ)サービスプロダクト推進本部の北原祐樹氏は、「企業のすべてのIDを対象として、人の動きと連動して生じるIDの作成や権限変更、休止、削除といったサイクル全体を管理し、適切にIDとアクセス権限を管理することを指します」と説明する。

続けて北原氏は、ITR社の市場予測を引用し、IGAの需要の高まりをこのように説く。

「IGA市場は年々需要が高まっており、国内市場推定は2025年に31億円、2027年には41億円に達すると予測されています。コンプライアンス順守の傾向が強まる中、大企業を中心に導入が進む見込みです」

インターネットイニシアティブ(IIJ)
サービスプロダクト推進本部
北原 祐樹 氏

ID管理の課題を解決するIGAの3つの重要ポイント

IGAは具体的にどのようにしてID管理の課題を解決するのか。重要なポイントは3つある。

IGAを構成する重要ポイント
(クリックして拡大)

第1に「ID管理の自動化(IDライフサイクル管理)」だ。入社時のID作成、異動時の権限変更、退職時のID削除といった一連のプロセスを自動化する。従来は各サービスに対して手動で行っていた作業を、IGAで一元的に設定変更するだけで、連携する全てのサービスに自動で反映される。これにより、管理者の負担軽減とヒューマンエラーの防止を両立できる。

第2に「ポリシー・ロール管理」である。利用するサービスが増えると、ユーザーごとの細かな権限設定が求められ、管理が複雑化しがちだ。

「組織やグループ単位ではなく、細かな権限の設定が求められてきています」(北原氏)

ポリシー・ロール管理の課題
(クリックして拡大)

一例として、IIJが提供するIGA「IIJ IDガバナンス管理サービス」では、「情報システム部門かつ正社員」といった動的な条件でグループを設定できる。新入社員のIDを作成する際、属性情報を入力するだけで自動的に適切なグループに追加され、必要な権限やライセンスが付与されるため、煩雑な権限管理を大幅に効率化できる。

第3のポイントが「IDの棚卸し」だ。退職者IDの削除漏れや不要な権限の付与は、内部不正や情報漏えいの温床となる。「IIJ IDガバナンス管理サービス」では、管理画面から各サービスのID保有状況、権限、ライセンスを一覧で確認し、不要なIDや権限をその場で是正(削除・無効化)できる。これにより、内部監査などにも効率的に対応可能となる。

IGA導入の現実的な選択肢とIIJのソリューション

IGAの導入方法には、SaaSとして利用する「IGA as a Service」、IaaSやオンプレミス環境にオープンソースソフトウェア(OSS)を用いて開発するパターンなどがある。

IGA as a Serviceのメリット
(クリックして拡大)

「弊社としておすすめの導入方法はIGA as a Service、いわゆるSaaS型での導入です」(北原氏)

その理由として、管理工数の削減、専門人材不足への対応、市場動向への追随といったメリットを挙げる。自社で開発・運用する場合、保守管理や担当者の引き継ぎが大きな負担となり得るが、SaaSであればサービス提供事業者にアウトソースできる。

IIJのおすすめの選び方
(クリックして拡大)

IIJが提供する「IIJ IDガバナンス管理サービス」は、まさにこのSaaS型のIGAソリューションだ。発令情報を基に、IDのライフサイクル管理や棚卸しを自動化する。特に、年度末などの繁忙期に備え、入社や退職に伴う作業を事前に「予約登録」できる機能は、担当者の負荷軽減に貢献する。

IIJサービスの予約登録機能
(クリックして拡大)

IDセキュリティは次なるステージへ

SaaSの利用が今後も拡大していく中で、ID管理のあり方は企業のセキュリティレベルを左右する重要な要素となっている。単なる効率化ツールではなく、内部統制を強化するための戦略的な投資として、IGAの重要性はますます高まっていくだろう。

自社のID管理体制を見直し、潜んでいるリスクに目を向けることが、ゼロトラスト時代に適応するための第1歩となる。

気になることがあればお気軽に