「情報セキュリティ10大脅威 2024」から考えるID管理の重要性

IPA（情報処理推進機構）は、毎年「情報セキュリティ10大脅威」を発表しています。その年に社会的影響が特に大きかったセキュリティ脅威をランキング形式でまとめたものです。

個人と組織の2つの観点から脅威が分析されており、9年連続でランクインしているランサムウェアによる被害が深刻な問題として挙げられています。組織向けの脅威の部分を詳しくみていきましょう。

出典：IPA/情報セキュリティ10大脅威 2024

組織向けの脅威では、次の内容が挙げられています。

1. ランサムウェアによる被害
2. サプライチェーンの弱点を悪用した攻撃
3. 内部不正による情報漏えい等の被害
4. 標的型攻撃による機密情報の窃取
5. 修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）
6. 不注意による情報漏えい等の被害
7. 脆弱性対策情報の公開に伴う悪用増加
8. ビジネスメール詐欺による金銭被害
9. テレワーク等のニューノーマルな働き方を狙った攻撃
10. 犯罪のビジネス化（アンダーグラウンドサービス）

中でも、従業員による内部不正や不注意による情報漏えいが目立ちます。組織がクラウドサービスやコミュニケーションツールなど、多様なITツールを導入する中で、適切な管理が追いついていない実態が浮き彫りになっているでしょう。

複数のツールを導入することによるセキュリティ設定の漏れや見落としが発生しやすく、情報漏えいのリスクを高めています。また、各ツールに紐づくID情報の管理が分散化し、従業員の退職時のアカウント削除漏れや、アクセス権限の不適切な付与など、ID管理の脆弱性も課題です。

情報セキュリティ10大脅威 2024の中では、組織でのID管理の重要性が必要とされる項目がいくつか挙げられていました。特に、テレワークの定着やDXの推進により、さまざまなクラウドサービスやSaaSツールの導入が進み、従業員が使用するIDの数が急増しています。

ID管理が不十分な場合、退職者の使用していたIDの削除忘れによる不正アクセスや、権限設定の誤りによる情報漏洩、さらには従業員による意図しない誤操作などのリスクが高まるでしょう。

また、パスワードの使い回しや安易なパスワード設定により、セキュリティインシデントが発生するケースもリスクとしてあります。今後も増えるクラウドサービス利用を考えると、ID管理を徹底していくことが必要です。

ID管理が適切に行われていない場合、次のリスクが懸念として挙げられます。

• アカウント管理の煩雑化
• アカウントロック
• 内部監査による業務負担の増加

 それぞれの内容を解説します。

アカウント管理の煩雑化 

各部署が業務効率化のために独自にクラウドサービスやSaaSツールを導入することや、そもそもクラウドサービスの導入自体が増加していることで、アカウント管理の複雑さが急速に増大しています。

部署ごとに異なるサービスを導入し、それぞれに個別のパスワードポリシーが存在する場合、全体的な把握が困難になりかねません。さらに、人事異動や退職のタイミングでアカウントの適切な更新や削除が行われず、使用されていないアカウントが残存する懸念もあります。

アカウントの利用状況が管理しきれなくなると、パスワードの使い回しによる複数サービスへの不正アクセスや、退職者による機密情報へのアクセスなどのさまざまなリスクとなりかねません。統合的なID管理システムの導入や、定期的なアカウント棚卸しの実施が不可欠です。

アカウントロック 

ID管理の不十分さによって生じるリスクの1つに、アカウントロックの問題があります。組織内で複数のシステムやサービスが個別に運用されている場合、それぞれのアカウントロックの解除手順が異なるため、従業員の業務復帰までに時間が必要です。

また、従業員が多数のシステムを利用する環境では、IDやパスワードの記憶・管理が困難になり、誤入力によるアカウントロックの発生頻度が高まります。

アカウントロックが発生すると、システム管理者による解除作業が完了するまで業務が停滞し、組織の生産性低下につながりかねません。

内部監査による業務負担の増加 

ID管理の不十分さは、内部監査に対する業務負担を増加させる要因です。内部監査では、企業のIT統制の一環として、ID管理が適切に実施されているかの確認をしなければなりません。

企業はソフトウェアやデータ情報の不正使用や改ざんを防止するため、アクセス状況のモニタリングや、システムの権限設定を確認する必要があります。ID管理が統一されていない場合、各システムやサービスごとに個別の確認作業が必要となり、監査対応の工数が大幅に増加してしまいます。

ID管理にはツールの導入がおすすめです。ツールを利用することで次のメリットがあります。

• ID情報を集約
• 運用負荷の軽減
• パスワードの使い分けが不要

それぞれの内容を詳しくみていきましょう。

ID情報を集約 

ID管理ツールの導入により、組織内のさまざまなシステムやサービスのアカウント情報と権限の一元管理が可能です。

人事異動や組織変更に伴うID管理で、一括での処理が可能となり、作業効率が向上します。新入社員のアカウント作成や退職者のID削除などの作業も、統合管理システムを通じて確実に実行できるでしょう。

従来問題となっていた退職者のアカウントが削除されずに残存するリスクや、個別のシステムごとに手作業で確認・対応する必要があった煩雑な作業時間を大幅に削減できます。

運用負荷の軽減 

ID管理ツールの導入は、システム管理者の運用負荷を軽減します。各システムやサービスの個別でのアカウント管理が不要となり、一元管理により複数システムのアカウント更新を一括で行えるようになるため、管理者の作業効率が向上します。

また、シングルサインオン機能の活用により、従業員は1つのIDとパスワードで複数のシステムにアクセス可能です。そのため、パスワードの記憶が容易になり、従業員からのパスワードリセット依頼や、アカウントロックの解除申請が大幅に減少します。

結果として、問い合わせへの対応負荷も軽減され、より重要な業務に対して時間を有効に活用できるでしょう。

パスワードの使い分けが不要 

ID管理ツールの導入により、従業員のパスワード管理の負担も軽減されます。従来は各システムやアプリケーションごとに異なるパスワードを設定・記憶する必要がありましたが、シングルサインオン機能により、1つのパスワードで全てのサービスにアクセス可能です。

システムごとのパスワード管理が不要になることで、パスワードの使い回しや、メモを取る必要がなくなり、セキュリティリスクも低減します。また、従業員は複数のシステムやサービスを利用する際も、その数を意識することなく、たった1つのパスワードを適切に管理するだけで済むようになることがメリットです。

今回の記事では、「情報セキュリティ10大脅威 2024」から考えるID管理の重要性を解説しました。

 情報セキュリティ10大脅威では、従業員による内部不正や不注意による情報漏えいが目立ちます。組織がクラウドサービスやコミュニケーションツールなど、多様なITツールを導入する中で、適切な管理が追い付かないこともあるかと思います。

今後も増えるクラウドサービス利用を考えると、ID管理を徹底することで、セキュリティリスクの削減と管理負荷の軽減につながります。
セキュリティサービスとともに、ID管理の利用も検討されてはいかがでしょうか。