企業のセキュリティ対策というと、ウイルス対策ソフト、EDR、UTM、バックアップなどの製品・サービスを思い浮かべる方が多いかもしれません。
しかし、実際の現場では、もっと身近なところに大きなリスクが潜んでいます。
それが、アカウント管理と権限管理です。
たとえば、退職した従業員のIDが残っている、複数人で同じID・パスワードを使い回している、管理者権限を誰が持っているのか分からない、という状態です。
Google WorkspaceやMicrosoft 365を利用している企業であれば、管理コンソール上の権限設定が問題になります。クラウドサービスを使っていない企業でも、会計ソフト、販売管理システム、ファイルサーバー、NAS、VPN、リモートデスクトップ、Webサイト管理画面、複合機、業務アプリなど、アカウント管理が必要な場面は数多くあります。
アカウント管理は、特別な大企業だけの課題ではありません。中小企業こそ、まず見直すべき基本対策の一つです。
アカウント管理・権限管理とは何か
アカウント管理とは、社内システムやクラウドサービスを「誰が使える状態にするか」を管理することです。
具体的には、従業員ごとのID発行、パスワード管理、入社時・異動時・退職時のアカウント追加や削除、利用停止などが含まれます。
一方、権限管理とは、そのアカウントに対して「どこまで操作を許可するか」を管理することです。
たとえば、以下のような違いがあります。
- 閲覧だけできる人
- 編集できる人
- データを削除できる人
- 他の利用者を追加できる人
- 管理者設定を変更できる人
同じシステムを使っていても、営業担当者、経理担当者、管理職、システム担当者では、必要な権限が異なります。
本来は、業務に必要な範囲だけ権限を付与するのが基本です。これを「最小権限の原則」といいます。
しかし、現場では「とりあえず使えるようにする」「設定が面倒なので全員に強い権限を与える」「前任者のIDをそのまま使う」といった運用が起こりがちです。
このような状態が続くと、情報漏えい、不正操作、データ削除、内部不正、退職者によるアクセスなどのリスクが高まります。
退職者IDを放置すると何が危険なのか
アカウント管理で特に注意したいのが、退職者IDの放置です。
退職者のメールアドレス、クラウドサービスのID、業務システムのログインID、VPNアカウント、共有フォルダのアクセス権限などが残ったままになっているケースは少なくありません。
退職者本人に悪意がなくても、そのIDが第三者に悪用される可能性があります。過去に使っていたパスワードが漏えいしていた場合、攻撃者がそのIDを使って社内システムにアクセスすることも考えられます。
逆に、退職者による悪意を持った情報の持ち出しの可能性も捨てきれません。
また、退職者のアカウントが残っていると、誰が操作したのか分からなくなる問題もあります。
たとえば、退職者IDでファイルが削除された場合、本当に本人が操作したのか、別の人がそのIDを使ったのか、外部から不正アクセスされたのかを判断しにくくなります。
退職時には、貸与PCや社員証の返却だけでなく、すべてのシステム・サービスのアカウント停止や削除をセットで行う必要があります。
特に注意したいのは、以下のようなアカウントです。
| メールアカウント | |
| グループウェア | |
| チャットツール | |
| オンラインストレージ | |
| 会計・販売管理・勤怠管理などの業務システム | |
| VPNやリモートアクセス | |
| WebサイトやSNSの管理画面 | |
| クラウドサーバーやレンタルサーバー | |
| ファイルサーバー、NAS、共有フォルダ |
退職者IDの削除漏れを防ぐには、「退職時チェックリスト」を作成し、人事・総務・情報システム担当者が連携して確認することが重要です。

共用IDはなぜ問題なのか
中小企業でよく見られるのが、共用IDの利用です。
たとえば、次のようなケースです。
❓部署全員で同じログインIDを使っている
❓管理者IDとパスワードを複数人で共有している
❓前任者から引き継いだIDをそのまま使っている
❓外部業者に社内アカウントを共有している
❓「admin」「user」などの汎用的なIDを使い続けている
共用IDの問題は、誰が操作したのか分からなくなることです。
ファイルを削除した、設定を変更した、顧客情報をダウンロードした、メールを送信した。このような操作が行われても、共用IDでは個人を特定できません。
これは、内部不正の抑止にも、インシデント発生時の調査にも大きな支障となります。
また、共用IDでは退職者や異動者の管理も難しくなります。誰かが退職するたびにパスワードを変更しなければならないはずですが、実際には変更されず、そのまま使われ続けることもあります。
どうしても共用IDを使わざるを得ない場面がある場合でも、利用者を限定し、パスワード管理方法を決め、利用履歴を残すことが必要です。
ただし、基本的には「一人一ID」が望ましい運用です。少なくとも、重要情報を扱うシステムや管理者権限を持つアカウントでは、共用IDを避けるべきです。
どうしても業務上、共通のメールアドレス(info@ など)を受信する必要がある場合は、共用IDでログインするのではなく、Google Workspaceの「グループ機能」やMicrosoft 365の「共有メールボックス」といった、「個人のIDでログインしたまま、共通メールを扱える機能」を活用しましょう。これなら、誰が対応したかのログを個人のID紐付けで残すことができます。
管理者権限を持ちすぎるリスク
管理者権限とは、システムやサービスの設定変更、ユーザー追加、権限変更、データ削除などができる強い権限のことです。
Google Workspaceであれば特権管理者、Microsoft 365であればグローバル管理者のような権限が該当します。クラウドサービスを使っていない企業でも、サーバー管理者、業務システム管理者、NAS管理者、ルーター管理者、Webサイト管理者など、同じような強い権限があります。
管理者権限は便利ですが、同時に大きなリスクでもあります。
管理者アカウントが攻撃者に乗っ取られると、一般ユーザーのアカウントよりも大きな被害につながります。利用者の追加・削除、パスワード変更、メール転送設定、ファイル共有設定、セキュリティ設定の変更など、さまざまな操作が可能になるためです。
また、管理者権限を持つ人が多すぎると、設定ミスや誤操作のリスクも高まります。
「念のため管理者にしておく」「担当者が休んだとき困るから全員に管理者権限を付ける」という運用は避けるべきです。
管理者権限は、必要な人に、必要な範囲で、必要な期間だけ付与するのが基本です。
たとえば、ユーザー追加だけを行う担当者には、全体管理者ではなくユーザー管理権限だけを付与する。請求情報を見る担当者には、支払い関連だけの権限を付与する。このように、役割ごとに権限を分けることが重要です。
Google WorkspaceやMicrosoft 365を使っている企業が確認すべきこと
Google WorkspaceやMicrosoft 365を利用している企業では、管理コンソールでアカウントと権限を確認できます。
まず確認したいのは、誰が管理者権限を持っているかです。
特に、特権管理者やグローバル管理者のような強い権限を持つアカウントは、必要最小限にする必要があります。
次に、退職者や異動者のアカウントが残っていないかを確認します。利用していないアカウントが残っている場合は、停止・削除・ライセンス解除などの対応を検討します。
また、多要素認証の設定も重要です。
管理者アカウントには、必ず多要素認証を設定するべきです。IDとパスワードだけでは、パスワード漏えいやフィッシングにより不正ログインされる可能性があります。
さらに、外部共有やメール転送設定、ログイン履歴、アプリ連携の状況も確認したいポイントです。
たとえば、退職者のアカウントに外部転送設定が残っている、不要な外部アプリが連携されている、個人のメールアドレスに重要情報が転送されている、といった状態がないかを確認します。
Google WorkspaceやMicrosoft 365は、便利な反面、設定項目が多く、初期設定のまま使い続けている企業も少なくありません。導入して終わりではなく、定期的な棚卸しと設定確認が必要です。

クラウドサービスを使っていない企業でも権限管理は必要
アカウント管理・権限管理は、クラウドサービスを使っている企業だけの話ではありません。
オンプレミスのサーバー、社内ファイルサーバー、NAS、業務ソフト、会計ソフト、販売管理システム、勤怠管理システム、リモート接続ツール、ルーター、複合機、Webサイト管理画面など、あらゆる場所にIDと権限は存在します。
特に注意したいのは、古くから使っているシステムです。
昔作った管理者IDが残っている、退職した担当者のIDが残っている、外部業者用のアカウントが残っている、パスワードが長年変更されていない、といったケースがあります。
また、紙やExcelでパスワードを管理している場合も注意が必要です。管理表そのものにアクセスできる人が多いと、実質的に誰でも重要なシステムへログインできる状態になってしまいます。
クラウドかどうかに関係なく、「誰が」「何に」「どの権限で」アクセスできるのかを把握することが、アカウント管理の第一歩です。
中小企業がまず取り組むべき5つの対策
アカウント管理・権限管理は、最初から完璧を目指す必要はありません。まずは、現状を見える化し、リスクの高いところから順番に対応することが大切です。
| 1. | 利用しているシステム・サービスを一覧化する |
まず、自社で使っているシステムやサービスを洗い出します。
メール、グループウェア、ファイル共有、会計、販売管理、勤怠、給与、Webサイト、SNS、サーバー、NAS、VPN、リモート接続、セキュリティツールなど、業務で使っているものを一覧にします。
このとき、無料サービスや部署ごとに契約しているサービスも忘れずに確認します。
| 2. | アカウント一覧を作る |
次に、それぞれのシステムで誰のアカウントが存在するかを確認します。
在籍者だけでなく、退職者、異動者、外部委託先、共用ID、管理者IDも確認します。
この時点で、使っていないアカウントや不明なIDが見つかることがあります。
| 3. | 管理者権限を持つ人を確認する |
管理者権限を持つアカウントは、特に重点的に確認します。
誰が管理者なのか、その人に本当に管理者権限が必要なのか、共用IDになっていないか、多要素認証が設定されているかを確認します。
管理者権限は、必要最小限に絞ることが基本です。
管理権限を持つのは、経営者と信頼できるIT担当者(最大でも2〜3名程度)に限定します。その他の社員はすべて一般ユーザー権限に変更してください。
そして、管理者アカウントには必ず「2要素認証(MFA/ワンタイムパスワードなど)」を設定します。これにより、万が一パスワードが漏洩しても、不正アクセスを水際で防ぐことができます。
| 4. | 入社・異動・退職時のルールを決める |
アカウント管理は、日常業務の中で継続する必要があります。
入社時にどのアカウントを作成するのか、異動時にどの権限を変更するのか、退職時にどのアカウントを停止・削除するのかをルール化し、人事手続きとIT手続きを連動させます。
特に退職時は、チェックリスト化して対応漏れを防ぐことが重要です。
| 5. | 定期的に棚卸しする |
アカウントと権限は、一度整理して終わりではありません。
組織変更、担当変更、サービス追加、外部委託先の変更などにより、状態は少しずつ変わります。
少なくとも半年に1回、できれば四半期に1回程度、アカウントと権限の棚卸しを行うと安心です。
アカウント管理はゼロトラストやSASEの土台になる
最近は、ゼロトラストやSASEといった考え方が注目されています。
ゼロトラストは、「社内だから安全」「社外だから危険」と単純に考えるのではなく、アクセスのたびに利用者や端末、権限を確認する考え方です。
SASEは、クラウド利用やリモートワークが広がる中で、ネットワークとセキュリティを統合的に見直す考え方です。
どちらにも共通しているのは、「誰が、どこから、何にアクセスしているか」を把握することです。
そのため、アカウント管理・権限管理が曖昧なままでは、ゼロトラストやSASEの考え方を十分に活かすことができません。
また、BYODを認める場合も、私物端末からアクセスできる情報やシステムを適切に制限する必要があります。
つまり、アカウント管理は単独の対策ではなく、クラウドセキュリティ、BYOD対策、SASE、ゼロトラスト、内部不正対策の土台になるものです。
(参考)ゼロトラスト──“信頼しない”設計が企業を守る
(参考)SASEとは?VPNやUTMと何が違う?中小企業が知っておきたい次世代のセキュリティ対策
(参考)BYOD対策とは?私物スマホ・私物PCの業務利用をどこまで認めるべきか
まとめ:まずは「誰が何にアクセスできるか」を見える化する
アカウント管理と権限管理は、地味な対策に見えるかもしれません。
また、アカウント管理や権限管理を厳しくしようとすると、社内から「今までのやり方のほうが楽だった」「社員を信用していないのか」といった反発が生まれることがあります。
しかし、退職者IDの放置、共用IDの利用、管理者権限の付けすぎは、情報漏えいや不正アクセスにつながる重要なリスクです。
特に中小企業では、専任の情報システム担当者がいないまま、複数のクラウドサービスや業務システムを利用しているケースも多くあります。その結果、誰がどのシステムにアクセスできるのか、管理者権限を誰が持っているのかが分からなくなりがちです。
適切な管理を行う本当の目的は、「社員がうっかりミスで会社に大損害を与えてしまうリスク」や「魔が差して不正を行ってしまう環境」を最初から作らないことにあります。つまり、仕組みによって社員の人生と雇用を守るための優しさなのです。
まずは、自社で使っているシステム・サービスを一覧化し、アカウントと権限を棚卸しすることから始めましょう。
そのうえで、退職者IDの削除、共用IDの見直し、管理者権限の最小化、多要素認証の設定、入退社時ルールの整備を進めることが大切です。
セキュリティ対策は、難しい製品を導入することだけではありません。自社のIDと権限を整理し、「誰が、何に、どこまでアクセスできるのか」を把握することから始めてみてはいかがでしょうか。
LYSTでは、中小企業の状況に合わせて、アカウント管理・権限管理の棚卸し、Google WorkspaceやMicrosoft 365を含む各種サービスの設定確認、社内ルール整備を支援しています。お気軽にお問い合わせください。
