![エンタープライズIT [COLUMNS]](https://ent.iij.ad.jp/wp-content/themes/liquid-smart-child/img/logo.svg){kind=logo}
シェア
ポスト
ブックマークこんにちは。マーケティング担当…
退職者のアクセス権、全システムで確実に削除できていますか?
2019年よりITベンダーにてプリセールス業務に従事。IIJ入社後は、IIJサービス及びMicrosoft製品のプリセールスを担当。現在はID管理サービスの販促施策の立案やセミナーでの講演活動に従事。
執筆・監修者ページ/掲載記事:2件
退職者や異動者のアカウント管理について、「ユーザ削除はできているから大丈夫」と考えていないでしょうか。しかし、グループ管理の抜け漏れによって、退職後も機密情報へアクセスできてしまうケースは少なくありません。こうした手作業によるID管理は、情報漏えいリスクや監査対応の負担を高める要因となります。
本コラムでは、情報漏えい・監査リスクを防ぐためのID管理の自動化について、グループ管理の観点から解説します。
「グループ管理」が抱える、見過ごされがちな深刻なリスク
「退職した社員が、まだ機密情報にアクセスできる状態だった」
「監査で『3ヵ月前のグループメンバーを証明してください』と言われたが、記録がない」
従業員1,000名を超える企業では、こうした事態が現実に起こり得ます。
四半期ごとの組織改編、月次の人事異動、新規プロジェクトの立ち上げ、そして退職者対応——グループ管理が必要になる場面は想像以上に頻繁です。
OktaやEntra IDといったIDaaSを活用する企業が増えた今、これらのシステムへのグループ設定は、SaaS全体へのアクセス権を左右する重要な管理業務となっています。
しかし多くの企業では、ID管理システムと、IDaaS(OktaやEntra ID)でそれぞれ手作業による設定を行う「二重管理」が常態化しているのが実情です。
手作業のグループ管理が招く3つのリスク
- 情報漏えいリスク:退職者や異動者をグループから削除し忘れることで、不要なアクセス権限が残存。本来アクセスできないはずの機密情報や顧客データへの接続経路が放置される。
- 過剰な権限付与:設定ミスにより、必要以上の権限を持つユーザが発生。「最小権限の原則」が崩れ、セキュリティホールとなる。
- 監査対応の困難さ:内部監査や外部監査で「特定時点でのアクセス権の状態」を求められた際、証跡が残っておらず説明できない。コンプライアンス違反と指摘されるリスクが生じる。
情報漏えいは、企業に甚大な被害をもたらす
ID管理の不備による情報漏えいは、単なるシステムトラブルでは済みません。顧客情報や機密データの流出は、企業に深刻な経済的損失をもたらします。
調査・復旧コスト、取引先への賠償、売上減少、株価下落——情報漏えい1件あたりの被害額は、数百万円から数億円規模に及ぶケースも珍しくありません。更に、ブランドイメージの失墜や顧客離れといった、金額に換算できない損失も発生します。特に退職者や異動者の権限削除漏れによる内部不正は、外部からの攻撃よりも発見が遅れやすく、被害が拡大しやすい特性があります。
「たかがグループ設定の漏れ」が、企業の存続を揺るがす重大インシデントに発展するリスクを、決して軽視してはなりません。
特に、退職者のアクセス権削除は最優先事項です。しかし複数システムでの手作業が必要な場合、「ID管理システムでは削除したが、Oktaでは削除し忘れた」といった抜け漏れが発生しやすくなります。数時間、数日の隙が、重大なセキュリティインシデントにつながる可能性があります。
グループプッシュとIGA:階層構造まで自動同期する、次世代のID管理
こうしたインシデントを回避するための機能として「グループプッシュ」と呼ばれる機能があります。グループプッシュとは、ID管理サービスに登録されたグループ情報を、OktaやEntra IDなどの連携先システムへ自動的に同期する仕組みです。一度の設定操作で全システムに反映されるため、手作業による二重管理、設定ミス、削除漏れを根本から排除できます。
IIJ IDガバナンス管理サービスのグループプッシュ設定画面
明示的もしくは動的に条件抽出し、任意のグループを同期
グループプッシュにより同期されたグループ
一般的なIDaaSと「IIJ IDガバナンス管理サービス」の決定的な違い
多くのIDaaSでは、ユーザ情報のプロビジョニング(自動同期)には対応していても、グループ情報の同期は手作業が必要だったり、グループの階層構造までは反映できなかったりするケースがほとんどです。
しかし、IIJの提供するID管理サービス「IIJ IDガバナンス管理サービス」ではユーザだけでなく、グループ情報も階層構造を含めて完全にプロビジョニングすることができます。
例えば、「営業本部」の下に「第一営業部」「第二営業部」があり、更にその配下に「東日本チーム」「西日本チーム」といった階層構造がある場合でも、こうした組織構造をそのままOktaやEntra IDに自動反映します。そのため、複雑な組織体系を持つ大規模企業でも、正確なグループ管理を実現できます。
この階層構造の同期により、親グループの権限を子グループが継承する設定や、部門単位での一括権限管理が可能になります。組織改編で部門が丸ごと移動する場合でも、階層ごと移動させれば、配下の全メンバーのアクセス権が自動的に更新されるのです。
この機能は米Gartner社の提唱する「Identity Governance and Administration(以下、IGA)」を実現する中核機能の1つです。
IGAは、適切な人が適切なタイミングで適切なリソースにアクセスできるよう、IDとアクセス権を統制・管理する考え方であり、情報漏えい防止と監査対応の両面で効果を発揮します。
グループプッシュにより、IGAの考え方を、人の手に頼らず確実に実装することが可能になります。
グループプッシュ機能は、増え続けるグループ管理業務を自動化し、情報漏えいと監査対応という2つの重大リスクから企業を守ります。ユーザだけでなくグループの階層構造まで完全に同期できる「IIJ IDガバナンス管理サービス」で、手作業に頼らない、確実なID統制を今すぐ始めませんか?
気になることがあればお気軽に
関連資料
- 前の記事
- 次の記事