多くのクラウドサービスを利用する今、増えるアカウントの管理を適切に行うことが重要だ(写真:SmileStudioAP/Getty Images)

クラウドサービスの普及で利便性が高まる反面、増加する一方のアカウント管理が頭の痛い問題だ。抹消せず放置した退職者アカウントから不正侵入されたり、無駄なコストの原因となったりしているからだ。アカウント管理のどんな点に課題があり、どう対処すればよいのか。ITセキュリティソリューションを提供するラックの稲毛正嗣氏と野口敦己氏に話を聞いた。

クラウドの普及で高まる「鍵」の重要性

――「アカウント管理」が今重要な問題となっているのはなぜでしょうか。

野口 そもそもアカウントとは何かといえば、いわば情報システムに入るための「鍵」です。ただ、以前は情報システムが自社内に置かれ、社内と社外の境界が防御されていたので、鍵の管理はそこまで重要ではありませんでした。社内という“家の中の鍵”だったので、厳密に管理しなくてもよかったのです。


サイバー攻撃やセキュリティーの最新動向など、その他の関連記事はこちら

しかしクラウドサービスが急速に普及し、情報システムが境界の外側にあるインターネット上に置かれるようになりました。その結果、社内と社外の境界で防御できない状態が生まれたことが、アカウント管理が重視されるようになった一番の理由だと思います。

リモートワークの普及で、接続元が社外のアクセスが増えたこともあるでしょう。

稲毛 加えて、クラウドサービスを使用するときは「責任共有モデル」といって、クラウド事業者と利用者間で、セキュリティとコンプライアンスに関する責任の分担を定めたモデルがあります。そこでユーザーの認証やアクセス管理(組織内のデータやサービスへのアクセス権の範囲を制御すること)等は利用者の責任とされているので、これがより重要になってきました。

――「鍵」の管理のどんな点が問題になっているのですか。

野口 境界の内側にある情報システムでは、管理するIDは一人あたり2つか3つくらいだったと思います。


野口 敦己(のぐち・あつみ)/ラック 営業統括部 ソリューションコンサルティング部 デジタルアイデンティティ&ガバナンスグループ。2018年にラック入社。現在はIDaaS製品のプリセールスエンジニアとして、長年の経験と知識を生かし、顧客の課題の整理と解決策の提案を行っている(写真:本人提供)

しかしクラウドサービスを利用するようになると、クラウドベンダーごとに異なるIDが払い出される状況になります。

つまり、100人の従業員がいる会社で10個のクラウドサービスを利用すると、1000個の鍵が存在することになり、膨大な数の鍵を一つひとつ管理するのが難しいという課題が発生します。

倍々ゲームで鍵が増えるだけでなく、各々の鍵にどの程度のアクセス権限が割り当てられているのかも管理する必要があります。

例えば、一般社員が経営層と同じように会社の機密情報にアクセスできていたら、リスクが生じます。

稲毛 私たちの元には「IT部門だけではアカウント管理に手が回らない、どうしたらよいか」といった相談がたくさん寄せられます。その背景にはIT人材不足もあるのかもしれません。

アカウント管理の不備がコスト増に直結

――アカウント管理が適切にできていないと、どんな問題が生じるリスクがありますか。

野口 適切に管理されていないアカウントから社内システムに侵入され、情報を引き抜かれるおそれがあります。情報が漏洩すれば大問題となり、企業のイメージダウンやビジネスへの悪影響につながります。

業務上でも、例えば退職者のMicrosoft 365のアカウントを削除したところ、OneDrive上のフォルダに保存されていた重要な顧客の情報も消えてしまった、といった問題が起きています。これはMicrosoft 365のアカウントが誰に割り当てられ、その人がどんな権限を持っているかがきちんと管理されていないために発生する問題です。

稲毛 ほかには、退職者や異動者のアカウントが放置され、使っていないライセンスが有効になっていれば当然、無駄な費用がかかってしまいます。


稲毛 正嗣(いなげ・まさつぐ)/ラック 営業統括部 ソリューションコンサルティング部 デジタルアイデンティティ&ガバナンスグループ グループマネージャー。2017年にラック入社。コンサル、ソリューション企画、ソリューションのプリセールスなどをマルチに担当。最近は、とくにデジタルアイデンティティをテーマに、セキュリティ、DX、両側面から顧客を支援(写真:本人提供)

退職者や異動者のアカウントを抹消できていないと、情報システムに不正侵入される可能性があり、実際にインシデントも発生していると聞いています。システムだけでなく、例えばマーケティング部で運用しているSNSの企業アカウントも注意する必要があります。退職した人が、報復としてそのアカウントから不適切な投稿をして炎上、といったリスクも考えられます。

人事システムと連携するなどして、抹消すべきアカウントを自動的に無効化する仕組みづくりが必須でしょう。

――IT部門が直接管理するものだけでなく、事業部門が契約しているアプリケーションが増加し、管理が行き届かなくなるケースもあるようです。

野口 事業部門での導入時は、IT部門の許可を必要にすることが前提です。そのうえで、定期的にシステム監査をし、アカウント一覧を出してもらうようにします。そうすれば、ガバナンス問題はクリアになるでしょう。

「最小権限の原則」を守ること

――アカウント管理で注意すべきポイントは何でしょうか。

稲毛 1つのアカウントに侵入されても適切に権限が付与されていれば、その影響は最小限にとどめられます。しかし、全員に管理者権限を与えていたら、すべての情報が見られてしまうわけです。ですので、各アカウントの業務に必要な権限だけを与える「最小権限の原則」を守る必要があります。

――サーバーやシステムなどの管理においてあらゆる権限を持つ「特権アカウント」の管理で発生する問題としてはどんなものが考えられますか。

野口 内部不正につながるケースがあることや、その権限の大きさにより外部から侵入されると被害が広がってしまう問題があります。ここでも「最小権限の原則」に則り、特権アカウントにアクセスできる人を極力制限し、使用の際は「誰が何をしたか」記録を残すことが重要です。

「シングルサインオン」の活用で一元的な管理を

――利用するクラウドサービスの増加で難しくなるアカウント管理について、企業はどう対処していけばよいでしょうか。

野口 一元的なアカウント管理を行うために、シングルサインオン(1つのIDとパスワードによって複数のシステムへのログインが可能になるもの)の導入を徹底していくことが重要です。

アカウント管理は、IDをすべて帳簿化していくのが定石ですが、大変な労力が必要になります。そのため、極力シングルサインオンに対応している製品に揃えて一元的なアカウント管理がしやすい状況にしたほうがよいでしょう。

ただし、アプリケーション側の都合や確認漏れなどでアプリケーションに直接ログインできるルートが存在するケースがあります。そして、直接ログインできるルートでは多要素認証が設定されておらず、外部から侵入されてしまうケースが発生しているので、きちんと多要素認証を設定する必要があります。

稲毛 アクセス権限の付与については、最小権限の原則に則って情報の機密度に合わせたデバイスの制限や多要素認証を漏れなく適用する必要があります。

ただ、何でもかんでも厳しくしてしまうとユーザビリティが落ちてビジネスに支障が出るおそれもあるので、守るべき情報資産を定義したうえで、アクセスを許可するデバイスや多要素認証の設定等を考えるといいでしょう。

アカウント管理はセキュリティの入り口になるところです。経営者に「ある程度の投資が必要」という考えがあれば、事故を未然に防ぐセキュリティ対策ができるのではないでしょうか。そして、事業を継続させるためには何が必要か、改めて吟味することが重要だと思います。

(宮内 健 : ライター)