アクセス権限の棚卸しと最適化

背景

企業が利用するシステムやクラウドサービスの数は年々増加しています。それに伴い、従業員一人ひとりに付与されるアカウントやアクセス権限も複雑化し、管理が行き届かなくなるケースが多発しています。特に中小企業では、異動や退職時の権限変更が漏れたり、一時的に付与した管理者権限がそのまま残っていたりするリスクがあります。

従業員60名の不動産会社D社では、退職した社員のクラウドサービスアカウントが半年以上放置されていたことが発覚しました。幸い不正アクセスは確認されませんでしたが、ひとり情シス担当者は全社のアクセス権限の棚卸しを実施し、管理体制を見直すことにしました。

課題

• 利用中のシステム・サービスの全体像が把握できていない（シャドーIT含む）
• 各システムのアカウント一覧を取得する方法がバラバラで、統合的な管理が困難
• 異動・退職時の権限変更手順が属人化しており、漏れが発生しやすい
• 「とりあえず管理者権限」で付与されたアカウントが多数存在する
• 共有アカウント（部署共有のID/パスワード）が残っている
• 棚卸しの工数が大きく、ひとり情シスでは負荷が高い

対応方法

1. システム・サービスの全体把握

最初に、社内で利用されているすべてのシステムとクラウドサービスを洗い出しました。IT管理下のシステムだけでなく、各部署が独自に契約しているSaaSサービス（シャドーIT）も含めて把握するため、全部署に利用サービスの申告を依頼しました。

2. アカウント棚卸しの実施

各システムからアカウント一覧をエクスポートし、人事データ（在籍者リスト）と突合しました。この作業により、以下のような問題アカウントを特定しました。

• 退職者のアカウント：8件（最長で1年以上前の退職者）
• 異動後も旧部署の権限が残っているアカウント：15件
• 管理者権限が不必要に付与されているアカウント：12件
• 共有アカウント：5件
• 利用実績のない休眠アカウント：20件以上

3. 最小権限の原則に基づく権限再設計

「最小権限の原則（Principle of Least Privilege）」に基づき、各システムの権限を再設計しました。まず、職種・役職別に必要なアクセス権限をマトリクス表にまとめ、各従業員の現在の権限と照合して過剰な権限を特定・削除しました。

4. 共有アカウントの廃止

共有アカウントは「誰がいつアクセスしたか」の追跡ができないため、セキュリティ上の大きなリスクです。すべての共有アカウントを洗い出し、個人アカウントへの移行計画を策定しました。コスト増（ライセンス追加）が必要な場合は、リスクと費用を経営層に説明して承認を得ました。

5. 定期棚卸しの仕組み化

一度の棚卸しで終わらせず、継続的に管理できる仕組みを構築しました。具体的には以下の施策を実施しました。

1. 四半期棚卸し：3か月ごとに主要システムのアカウント一覧と在籍者リストを突合するスケジュールを設定
2. 入退社チェックリスト：人事部門と連携し、入社・退職・異動時のアカウント作成・変更・削除の手順書とチェックリストを整備
3. 権限申請フロー：新規アカウント作成や権限変更はすべて申請制とし、上長承認を必須にするワークフローを導入
4. 棚卸し台帳のテンプレート化：スプレッドシートで棚卸し台帳のテンプレートを作成し、毎回ゼロから作業しなくて済むようにした

判断と成果

初回の棚卸しでは約60件の問題アカウントを特定・是正しました。退職者アカウントの即時無効化により、不正アクセスのリスクを大幅に低減できました。また、不要なライセンスの解約により月額約5万円のコスト削減も実現しました。

定期棚卸しの仕組み化により、2回目以降の棚卸しは1回あたり半日程度で完了できるようになり、ひとり情シスでも無理なく継続できる体制が整いました。人事部門との連携強化により、退職日当日のアカウント無効化率は100%を達成しています。

推奨事項

• まずは利用中のシステム・サービスの全体像を把握することから始める
• 人事データとの突合による退職者・異動者のアカウント洗い出しを最優先で実施する
• 最小権限の原則に基づき、職種・役職別の権限マトリクスを整備する
• 共有アカウントは計画的に廃止し、個人アカウントに移行する
• 入退社・異動時のアカウント管理を人事部門と連携して仕組み化する
• 四半期ごとの定期棚卸しをスケジュール化し、形骸化を防ぐ
• SSO（シングルサインオン）の導入を中長期的に検討し、アカウント管理を一元化する