「退職したスタッフのアカウントが残ったまま、そのログイン情報を使ってファイルにアクセスされていた」。気づいたとき、どれほど困るか想像したことがあるでしょうか。アカウント管理のミスは、情報漏えいのリスクに直結します。
この記事では、スタッフの退職や異動が発生したときに見落としがちなアクセス管理のリスクと、その対策をご紹介します。
こんなヒヤリ、ありませんか?
退職したスタッフのアカウントをそのままにしていた
退職手続きに追われる中、ファイル転送サービスのアカウント削除まで手が回らなかった、というケースです。退職者が以前のログイン情報を使えば、引き続きファイルにアクセスできる状態が続きます。
複数人で同じアカウントを使い回していた
チームで1つのアカウントを共有していた場合、誰かが退職してもアカウント自体は残ります。ログイン情報を知っている元スタッフが、退職後もアクセスできる状態になりえます。
担当者が変わったのにアクセス権限を整理していなかった
異動や担当変更の際、前任者のアクセス権限を削除しないまま後任者にも権限を付与してしまい、結果として複数の人が同じファイルにアクセスできる状態になっていた、というケースです。
なぜアクセス管理がリスクになるのか
ファイル転送サービスは、社外とのファイルやり取りに使われる分、扱うデータの機密性が高いケースが多くあります。にもかかわらず、アカウントの管理は後回しになりがちです。
退職者がアクセスできる状態が続くことで、意図せず機密ファイルが漏えいするリスクが生まれます。「悪意はなかった」としても、情報が外部に出てしまえば取り返しはつきません。
アクセス権限は「必要なときに付与し、不要になったらすぐに止める」が基本です。
アクセスを止めるための対策
退職・異動のタイミングでアカウントを削除する
退職手続きや異動の対応にあわせて、ファイル転送サービスのアカウント削除・無効化も確認するフローを作っておくことが大切です。利用しているサービスのアカウントを確認・削除する作業を、退職手続きのチェックリストに組み込んでおくと抜け漏れを防げます。
アカウントの共有をやめる
複数人でアカウントを共有するのではなく、利用者ごとに個別のアカウントを発行することで、退職者のアクセスだけを止めることができます。
ユーザー管理機能を持つサービスを選ぶ
ユーザーを個別に管理できる機能を持つサービスを選んでおくと、退職や異動のタイミングで素早く対応できます。退職者のアカウントだけをすぐに無効化・削除できる環境を整えておくことが大切です。
まとめ
アカウント管理は、情報漏えい対策の基本です。以下の点を定期的に確認する習慣をつけましょう。
- 退職・異動のタイミングでアカウントを削除・無効化する
- アカウントの共有をやめ、利用者ごとに発行する
- 定期的に利用中のアカウントを確認・整理する
「気づいたら退職者のアカウントが残っていた」という状況を防ぐために、今一度確認してみてください。
オクルリンクは、ユーザーを個別に管理できる仕組みを備えています。