戦略
大企業には、オンボーディング(入社時)とオフボーディング(退職時)にまつわる正式なプロセスがあります。最近喫緊の課題となっているのが、入社後、ITシステムへのアクセスを許可することや、離職時にアクセス権を取り消すことなどのIT資産の管理です。事実、従業員が退職するオフボーディング時におけるセキュリティ管理が曖昧になってしまうことがよくあります。退職した従業員が、内部情報にアクセスできる状態であると、多方面からのリスクが発生します。どのように回避すればよいのでしょうか。
アクセス権が忘れられてしまう?
新しい従業員には、業務に必要なシステムへのアクセス権が付与されます。長く勤めれば勤めるほど、業務に必要な様々なアカウントへのアクセス権が蓄積されていきますが、必ずしも特定の部署や担当者が一元的に発行し、管理しているとは限らず、そのプロセス自体も標準化されているわけではありません。部署の責任者が、IT部門に通知することなくシステムへのアクセス権を許可することもあれば、メッセンジャーアプリや文書交換システムでのチャットが、部署内で不定期に作成されることもあります。このようにアクセス管理が一元化されていない場合、退職した従業員から完全に全てのアクセス権を失効させることは難しいでしょう。
アクセス権の管理において、ミスを犯しがちな典型的なシナリオは次の通りです。
- 企業は、Ariba、Concur、Salesforce、Slackなど、数千とあるSaaSシステムを導入しており、最初のログイン時に従業員が入力したユーザー名とパスワードを入力することでアクセスできます。また、企業の従業員名簿とは統合されていません。
- 従業員は、特定のシステムを使用するために共通のパスワードを共有します。その理由は、1つのサブスクリプションを使用することでコストを削減したり、システムに完全なマルチユーザーアーキテクチャが欠けていたりするためです。従業員の一人が離職しても、誰もパスワードを変更しようとしません。
- 企業システムでは、携帯電話の番号とテキストで送信されるコードを使ってログインできる場合があります。オフボーディングした従業員が、業務で使用した電話番号を使い続ける場合、退職後もアクセス可能な状態になっています。
- システムによっては、個人アカウントでアクセスしなければならないものもあります。例えば、SNSの企業ページの管理者は、個人アカウントが許可を得て、企業ページにアクセスし、管理することになるため、こういったアクセス権をSNS上でも取り消す必要があります。
- 最後に、シャドーITの問題があります。従業員が独自の判断で使い始め、運営するシステムは、標準的なインベントリ、パスワード管理、その他の手順から外れることになります。多くの場合、オフボーディングした従業員は、Google Docsで共同編集を行ったり、TrelloやBasecampでタスクを管理したり、Dropboxや同様のファイルホスティングサービスでファイルを共有したり、メッセンジャーアプリで業務に関するチャットにアクセスしたりできます。とはいえ、どんなシステムでもこのリストに入る可能性はあります。
アクセス権が削除されていない場合のリスク
従業員の役割や退職の状況にもよりますが、アクセス権が完全に取り消されない場合、以下のようなリスクを生む可能性があります。
- オフボーディングした従業員のアカウントは、第三者によって企業へのサイバー攻撃に利用される可能性があります。ビジネスメールの漏えいから、企業システムへの不正侵入、データの盗難まで、様々なシナリオが考えられます。退職した従業員は、もうこれらのアカウントを使用していないため、このような犯罪行為は長期にわたって誰も気づかない可能性があります。忘れ去られたアカウントはまた、脆弱なパスワードを使用し、二要素認証がない可能性があり、アカウントが簡単に乗っ取られてしまう可能性があります。忘れ去られたアカウントは、サイバー犯罪者にとって格好のターゲットです。
- 退職した従業員は、個人的な利益のためにアカウントを使用し続けるかもしれません。例えば、前職の顧客のデータベースにアクセスして現職に利用する、またはサードパーティの有料サービスのサブスクリプションを使用するなどです。
- 業務関連書類がオフボーディングした従業員の個人PC上のフォルダと同期している場合など、機密情報が漏れる可能性もあります。その場合、元従業員が意図的にこのアクセス権を保持したまま文書を盗み見たのか、それとも単に忘れていただけなのかは不明です。いずれにせよ、このような情報漏えいは、企業に長期的なリスクをもたらします。
- 円満退社でない場合、元従業員は、そのアクセス権を使って企業に損害を与えようと試みるかもしれません。
頭痛の種:スタッフの離職、フリーランス、下請け業者
SaaSシステムやシャドーITを適切に管理するのは容易ではありません。オフボーディングの施策が正式に一元化され、全ての部署が共通の認識を持っているわけではないため、状況をさらに悪化させています。
他のリスク要因はフリーランサーです。彼らがプロジェクト期間中何らかのアクセス権が与えられていたとしても、契約終了時にIT担当が速やかに削除する可能性は低いのが現状です。
下請け業者も同様にリスクがあります。彼らが特定の従業員を解雇し、別の従業員を雇った場合、古いクレデンシャルが削除され、新しいクレデンシャルに置き換わるのではなく、単に使いまわされることがよくあります。IT担当が下請け業者の担当者の交代を知る可能性は低いでしょう。
期間従業員や従業員の流動性が高い企業では、業務のオペレーションを簡素化するために、一元化された正式なオン/オフボーディングの手順がないことがあります。そのため、ブリーフィングを実施したり、包括的なチェックリストを運用したりすることは考えられません。このような環境で雇用される従業員は、社内システムへのアクセスにパスワードを複数の人と共有していることが多く、セキュリティ意識の低い人になると、紙に書いてパソコンの横に張ってあることもあります。
管理する方法
リスクを大幅に軽減するために推奨する対策は下記の通りです。
- 定期的なアクセス監査。定期的な監査を実施し、従業員のアクセス権を確認しましょう。監査では、古くなったものや、意図せずに発行されたもの、標準の手順を踏んでいないまま発行されたものを特定し、必要に応じてそれらを取り消します。監査においては、インフラの技術的分析だけでは不十分です。さらに、何らかの形で従業員とその管理者に対する調査を実施すれば、シャドーITを特定し、会社の方針に沿って業務を遂行してもらうよう働きかけることができます。
- 人事とIT担当の緊密な連携。退職する従業員には、退職インタビューを行うべきです。人事部にとって重要な質問(仕事と会社への満足度、同僚についてのフィードバック)に加え、ITの問題(従業員が日常的に使用していたシステムの完全なリストを要求する、すべての業務情報が同僚と共有され、個人用デバイスに残されていないことを確認する、など)も確認します。オフボーディングプロセスでは通常、こうした情報の開示や誤用に対する責任を離職者に課す文書に署名させます。従業員だけでなく、同僚や経営陣にもインタビューを行い、ITと情報セキュリティが、従業員のすべてのアカウントとアクセスについて十分な説明を受けられるようにすることが望ましいでしょう。
- 社内における標準的役割を設ける。この施策は、技術面と組織面を組み合わせたものです。各ポジションと各業務について、オンボーディング時に発行し、オフボーディング時に失効させるアクセスのリストを作成します。これによって、ロールベースアクセス制御(RBAC)を構築し、IT部門の作業を大幅に簡素化します。
アクセス制御をスムーズに行い、情報セキュリティ全体を向上するための技術的措置について:
- アイデンティティアクセス管理システムとアイデンティティセキュリティ(英語の記事)を導入します。ここでの要となるのは、一元化された従業員名簿に基づくシングルサインオン(SSO)ソリューションです。
- 企業のデバイス、業務用携帯電話番号、発行済みライセンスなどを一元的に追跡するIT資産、在庫追跡。
- 古くなったアカウントの監視。情報セキュリティツールを使って監視ルールを適用し、企業システム内のアカウントが長期間アクティブでない場合それを知らせる通知が届くように設定します。このようなアカウントは定期的にチェックし、手動で無効化する必要があります。
- パスワードが共有される場合の代償措置。より頻繁にパスワードを変更する必要があります。
- フリーランサー、請負業者、期間従業員のための時間制限付きアクセス。彼らに対しては、常に短期間のアクセス権を発行し、必要なときだけそれを延長/変更するのが最善です。
ヒント