誰が変えたの……？ 操作した人が分からない「ゴーストID」を防ぐアカウント管理術：愛提興産の佐藤さんと学ぶ！ 明日からできる中小企業のセキュリティ再建計画

中小企業で孤軍奮闘する総務部の佐藤さん。ある日、システム設定が勝手に変更される事件が発生し、誰が操作したか追跡できない共有アカウントの恐怖に直面する。

[名須川竜太，キーマンズネット]

　専任情シス不在の中小企業で孤軍奮闘する総務部の佐藤さん。システム設定が勝手に変更される事件が発生し、誰が操作したかを追跡できない共有アカウントの恐ろしさに気付く。利便性やコスト削減のために使い回していた共有アカウントこそが、会社の信用を脅かす最大のセキュリティリスクだったのだ……。

　本連載では、架空の中小企業「愛提興産（あいていこうさん）」で情報システム担当を兼務する総務部係長の佐藤さんを主人公に、明日から実行できる現実的なセキュリティ施策の立て直しプロセスを解説する。今回は、多くの企業で何げなく使われている「共有アカウント」や「管理者アカウント」の使い回しに潜むリスクを明らかにし、そこから抜け出すための具体的なステップを示したい。

誰が変えたの……？　ログからも分からない、愛提興産のシステム怪事件

　「佐藤さん、この設定変更って、どのアカウントを使ってやればいいですか？」

　総務部の若手社員に声を掛けられ、佐藤は少しだけ手を止めた。

　「あぁ、それなら管理者アカウントで入れば大丈夫だよ」

　そう言いながら、内心では少し引っ掛かるものがあった。

　愛提興産は、社内システムの設定変更やサーバ管理などの際、共通の管理者アカウント（admin）を使っている。IDとパスワードは関係者間で共有されており、必要なときに各自がログインするという運用だ。前任者から引き継いだルールであり、これまで特に問題になったことはない。

　「まあ、うちは“なんちゃってIT（アイティ）”興産ですからね…」

　例によって、佐藤は小さくつぶやいた。

　そんなある日の午後、社内が少しざわついた。

　「佐藤さん、顧客管理システムのデータの一部が閲覧できなくなっているんですが……？」

　慌ててシステムを確認すると、確かにアクセス権限の設定が勝手に変更されていた。急いで元に戻して事なきを得たが、問題はその後だった。

　「一体誰がこんな設定に変えたんだ？」

　佐藤はシステムの操作ログを調べた。だが、そこに残っていたのは「admin」という共有アカウントによる操作履歴のみ。総務部のメンバーや、たまに出入りする外部の保守業者など、パスワードを知っている全員に「設定を変更したか？」と聞いて回ったが、誰もが「自分ではない」と首を振る。社内には犯人探しの険悪な空気が漂った。

※イメージ画像（Nano Bananaで生成）

　「これが単なる操作ミスじゃなく、悪意のある内部犯行や外部からの乗っ取りだったら大変なことになっていただろう」

　さらに調べていると、「管理者権限」や「特権アカウント」といった言葉が目に入ってきた。どうやら、今使っている共有アカウントは、システムに対して非常に強い権限を持つらしい。誰がやったのかを追跡できない状態で、何でもできるアカウントを使い回していたのだ。その事実に、佐藤は背筋が寒くなるのを感じた……。

「便利だから」「安くなるから」の裏で膨らむ、アカウント共有のツケ

　佐藤さんが直面した「誰が何をしたのか分からない」という状況は、アカウント（ID）を共有している企業が必ず直面する課題だ。実際、多くの中小企業では共有アカウントの利用が半ば常態化しており、その背景には大きく2つの要因がある。

　一つは、利便性を優先した運用だ。利用者ごとに個別のIDを発行し、それぞれがパスワードを管理するには一定の手間がかかる。そのため現場では、「退職した前任者のアカウントをそのまま使おう」「担当者が不在でも作業できるよう部署内で共用しよう」といった判断が積み重なり、結果としてアカウント共有が慣習化してしまう。

　もう一つは、コスト削減を目的とした運用だ。本来は利用人数分のソフトウェアライセンスが必要であっても、単一のアカウントを複数人で使い回すことで費用を抑えようとするケースは少なくない。だが、こうした行為はソフトウェアやSaaSの利用規約に抵触する可能性が高い。多くのサービスでは「1ユーザーにつき1ライセンス」が原則とされており、ベンダー監査によってライセンス違反が発覚した場合、過去分を含めた追加費用や違約金を請求されるリスクがある。これは単なる運用上の問題ではなく、経営リスクにも直結する。

　さらに深刻なのが、特権アカウント（管理者権限）の共有だ。管理者アカウントは、システム設定の変更や全データへのアクセスなど、強力な権限を持つ。そのため、複数人で使い回されている状態では、内部不正やサイバー攻撃による不正利用が発生した際に、「誰が、いつ、何を行ったのか」を正確に追跡できなくなる。結果として、インシデント発生時の初動対応が遅れるだけでなく、原因究明や証拠保全も困難となり、企業としての説明責任を果たせなくなる恐れがある。

　特に問題なのは、ログには「admin」という共通IDしか記録されず、実際の操作主体が判別できない点だ。例えば、社員A、社員B、退職者C、外部業者Dが同じ管理者IDを利用していた場合、システム障害や情報漏えいが発生しても、誰の操作が原因だったのかを特定できない。責任の所在が曖昧（あいまい）になることで、被害拡大の防止や再発防止策の策定にも大きな支障を来す。

社内に潜む“ゴーストID”のワナ　退職者のアカウントが格好の侵入口に

　共有アカウントの問題を解決する第一歩は、IDの共用を廃止し、利用者ごとに個別アカウントを発行することだ。また、アカウントは発行して終わりではなく、作成から変更、削除までを含めた「ライフサイクル管理」を徹底する必要がある。以降は、フォーティネットジャパンでフィールドCISOを務める登坂恒夫氏の話を基に解説する。

著者プロフィール：登坂 恒夫（とさか つねお）

2021年9月、フォーティネットジャパンにマーケティング本部 Field CISOとして入社。情報セキュリティ全般を通して、ユーザー企業の情報セキュリティ責任者に対して技術や脅威などの動向をお伝えするとともに、情報セキュリティ責任者との意見交換を通じて課題解決に向けた取り組みを支援する。フォーティネットジャパン入社前は、IDC Japanにおいて10年以上国内のセキュリティ市場調査アナリストに従事。国内のセキュリティ市場全般に深い洞察を持つ。これまでに、SE業務、コンサルティング業務、サポート業務と幅広くIT業務を20年以上にわたり経験。

　特に見落とされやすいのが、退職者や異動者、契約終了後の外部業者のアカウントが無効化されないまま残置されるケースだ。誰にも利用されていない“ゴーストID”は、攻撃者にとって格好の侵入口となる。実際に、過去在籍者のIDが悪用され、社内ネットワークへの不正侵入につながる事例は後を絶たない。

　こうしたリスクを防ぐためには、アカウントの定期的な棚卸しを実施し、不要となったIDを速やかに削除または無効化する運用が不可欠だ。適切なアカウント管理は、組織のセキュリティを支える基本的かつ重要な対策と言える。

　また、パスワード運用に対する考え方も見直されつつある。かつては、セキュリティ強化策として「定期的なパスワード変更」が推奨されていた。だが、現在では、米国立標準技術研究所（NIST）のガイドラインや、総務省が公開する情報セキュリティ関連資料などにおいて、利用者に一律の定期変更を求めない方向へと方針が転換されている。

　その背景にあるのは、人間の行動特性だ。頻繁なパスワード変更を強制されると、利用者は「Password01」「Password02」といった推測しやすい文字列を設定したり、複数のサービスで同じパスワードを使い回したりする傾向が強まる。その結果、あるサービスから漏えいした認証情報を使って別のシステムへのログインを試みる「パスワードリスト攻撃」が成功しやすくなり、かえってセキュリティリスクを高めてしまう。

　現在重視されているのは、パスワードを使い回さないことを前提としつつ、多要素認証（MFA）を組み合わせて安全性を高める考え方だ。特に特権アカウントは、ID・パスワードによる「知識認証」だけでなく、スマートフォンやセキュリティキーによる「所持認証」、さらには指紋や顔認証といった「生体認証」を組み合わせることで、より高いセキュリティレベルを確保することが求められている。

中小企業で権限管理が破綻しやすい理由

　利用者ごとに個別アカウントを発行した後は、業務に必要な最小限の権限のみを付与する「最小権限の原則」を徹底することが重要だ。全ての利用者に管理者権限を与えるのではなく、役割（ロール）に応じて適切なアクセス権限を設定し、必要以上の操作をできないよう制御する必要がある。

　だが、日本企業においてロールベースの権限管理を実践することは容易ではない。欧米企業では職務記述書（ジョブディスクリプション）によって業務範囲が明確に定義されているケースが多い。一方、日本企業、特に中小企業では、1人の従業員が複数の業務を兼務していることが少なくない。そのため、担当業務と権限範囲を厳密に切り分けることが難しく、結果として権限が広範囲になりやすい。

　さらに、人事異動の際には、新しい部署や業務に必要な権限が追加される一方で、以前の部署で利用していた権限が削除されないまま残存するケースも多く見られる。この状態が積み重なることで、在籍期間が長い社員ほど過剰な権限を持つ「権限の肥大化」が発生しやすくなる。不要な権限の放置は、内部不正や誤操作による被害範囲を拡大させる要因となるため注意が必要だ。

　権限の肥大化を防ぐには、情報システム部門だけで対応するのではなく、人事・総務部門との連携が欠かせない。入社、異動、退職といった人事情報を正確かつタイムリーに共有し、それに合わせてアカウント権限を追加・変更・削除する運用体制を整備する必要がある。その上で、「誰が、どのシステムに、どのような権限を持っているのか」を可視化し、継続的に管理・点検できる仕組みを構築することが重要だ。

　理想的には、ID管理を一元化できるIDaaS（IDentity as a Service）のような専用サービスを導入し、アカウント管理を効率化することが望ましい。だが、予算や体制の都合ですぐに導入できない場合は、まず「Microsoft Excel」などの表計算ソフトを使った台帳管理から始める方法も現実的な選択肢となる。

　ただし、IDや権限情報をまとめた台帳そのものが重要な機密情報である点には十分注意しなければならない。万が一、台帳が外部へ流出すれば、社内システムの認証情報一覧を攻撃者に渡すことになりかねない。そのため、ファイルには強固なパスワードを設定し、アクセス可能な担当者を限定するなど、適切な保護対策を講じることが不可欠だ。

取引要件としてのアクセス制御　中小企業が生き残るための必須科目に

　個別アカウントへの移行や多要素認証（MFA）の導入を進める上で避けて通れないのが社内調整だ。経営層からは「利用者数に応じてライセンス費用が増加する」とコスト面への懸念が示され、現場からは「ログインの手間が増え、業務効率が低下する」といった反発が起こることも少なくない。

　これに対応するためには、情報システム部門がアカウント管理の適正化を単なるIT運用ルールではなく、「企業を守るための経営課題」として捉える必要がある。共有アカウントによるライセンス違反は法的および契約上のリスクにつながるだけでなく、特権アカウントの不正利用や情報漏えいやシステム停止といった重大インシデントを招けば、企業の信用そのものを損なう恐れがある。

　さらに近ごろでは、大企業を中心に、サプライチェーン全体へ一定水準以上のセキュリティ対策を求める動きが急速に広がっている。こうした流れを受け、経済産業省が主導する「サプライチェーン強化に向けたセキュリティ対策評価制度」も、2026年10月の運用開始に向けて準備が進められている。同制度では、サプライチェーンに参加する企業が満たすべき最低限の基準として、アカウントの個別管理や権限の最小化といった基本的なアクセス管理が求められる見通しだ。

　つまり、「便利だから」という理由で共有アカウント運用を放置し続ければ、将来的には制度要件を満たせず、取引先から取引停止や契約見直しを求められる可能性もある。アカウント管理の見直しは、もはや単なる情報システム部門の課題ではなく、企業の事業継続と信頼維持に直結する重要な経営テーマとなっている。

　セキュリティ体制の再構築は、情報システム担当者だけで実現できるものではない。経営層を含め、組織全体が当事者意識を持ち、全社的な取り組みとしてアカウント管理の適正化を推進していく必要がある。

　特にこれからの時代は、適切なアカウント管理やアクセス制御を実践できるかどうかが、企業の信頼性や取引継続を左右する重要な要素となる。中小企業がサイバーリスクに対応し、持続的に事業を続けていくためには、アカウント管理を単なるIT運用ではなく、経営課題として位置付けて取り組む姿勢が不可欠だ。

アカウント管理の適正化に向け、今すぐやるべき3個条

　最後に、アカウント管理のリスクを低減し、適切な管理体制を構築するために、明日から現場で実践できる具体的なアクションを3つ提示する。

1．共有IDの洗い出しと廃止

　誰が操作したかを追跡できない共有アカウントの利用を見直し、個別ユーザーごとにIDおよびライセンスを割り当てる運用へ移行する。

2．特権アカウント管理の強化

　システム全体に影響を及ぼす管理者アカウントの利用範囲を必要最小限に制限し、多要素認証（MFA）を導入することで、不正アクセスのリスクを低減する。

3．人事部門との連携によるアカウント運用の徹底

　入社、異動、退職といった人事イベントに合わせてアカウントの作成から変更、削除までを確実に実施し、不要なIDが残存しない運用ルールとプロセスを確立する。