アクセス
元従業員の企業データやシステムなどへのアクセス権、削除し忘れていませんか?実際、辞めたり異動した社員がしばらくアクセスできる状態になっているということは少なからずあるようです。当社は、中小企業がサイバーインシデントに対する備えがどれだけできているか、調査(英語記事)を行いました。それによりますと、調査対象となった中小企業のうち半数近くは、解雇された元従業員のクラウドサービスや企業データへのアクセス権が、確実に削除されているとはいえないと答えました。
元従業員のアクセス権が残っている場合に生じるリスク
元従業員のアクセス権限がそのままになってしまっている場合、重大なセキュリティ上の問題につながる可能性があります。会社を辞めた従業員に対して中小企業が懸念することは、彼らが会社のノウハウやデータを利用して競合会社を設立すること、競合他社と組んで仕事を奪うこと、既存の顧客を横取りすることなどです。しかし、これらは企業のビジネスにとってはそれほど大きな損失にはつながりません。
元従業員の顧客データベースへのアクセス権限が削除されていない状態だと、例えば解雇されたことに対する復讐として、個人情報がパブリックドメインに漏えいされたり、ダークウェブで情報が売買されるリスクがあります。万が一そのようなことが発生した場合、その企業の評判やブランドは著しく下がります。さらに顧客の個人情報が漏えいしたことで、漏えい先の企業に対して、多額の損害賠償を求めて訴訟を提起される可能性もあります。そして、企業は、法に基づいて多額の罰金を科される場合もあります。企業が経営を行う国によって罰則は変わりますが、最近はこういった情報漏えいに対する罰則がより厳しくなる傾向があります。
ハッカーが情報を外部から盗む可能性も
元従業員が自分にアクセス権があると気づいていない状態でも、企業のデータなどがリークしてしまう可能性があります。定期的な監査が入る際に、外部から機密情報への不正アクセスがあったことが発覚し、罰金を科せられたケースもあります。
また、元従業員全員が円満退職したと思っていても、リスクがゼロだとは言い切れません。彼らが強固なパスワードを使用していたという保証はないからです。もし脆弱なパスワードや、ありきたりのパスワードを使っていた場合、攻撃者から総当たり攻撃を受けたり、別ルートで情報が漏えいしてしまう可能性があります。
共同作業をする環境、仕事のメール、バーチャルマシーンなど、システムにアクセスする隙があれば、攻撃を受ける可能性はあります。職場で何気なくかわすプライベートな会話もソーシャルエンジニアリング攻撃に利用される恐れがあります。
リスクを最小限に抑えるために
元従業員のアカウントからの情報漏えいを防ぐために、企業ができることは何でしょうか。当社がお勧めするのは下記のとおりです。
- 重要な企業データにアクセスできる人数を最小限に抑える。
- メール、共有フォルダ、オンライン文書などの企業リソースに対し、厳格なアクセスポリシーを定める。
- 厳格なアクセスログ(誰に対し、どのようなアクセス権が認められたかという記録)を保管、維持し、その従業員が退職したら、即時にアクセス権を無効にする。
- パスワード作成時の注意と変更に関して、明確なガイドラインを作成する。
- 従業員向けに定期的なサイバーセキュリティ啓発トレーニングを導入する。
ヒント