こころ
あ、これ今年の3末で退職した人のアカウントだ。よく見たらやめた人のアカウント結構あるな。ふ~~ん…
と、不要アカウントを放置しているそこのあなた!!!
不要アカウントを削除しないでそのまま残しておくことはとても危険だって知っていましたか?
こころ
えっ…もう誰も使ってないし、パスワードもわからないから別に残しておいていいんじゃない?
不要アカウントがシステム内に残っているリスクを考える
既に退職した社員アカウント、出向や育児休暇などで休眠状態のアカウントが有効なままシステムに残っていることで、不正アクセスされる可能性があります。これは重大なセキュリティホールと言えるでしょう。例えば、下記のような被害事例があります。
1不正アクセス:マルウェア感染による「なりすまし」
特に、管理者権限をもつアカウントが不正アクセスされてしまった場合、社内の機密情報漏えいや不正送金等、重大なセキュリティ事故に直結します。
また、更なる攻撃の為の踏み台として利用され、加害者にされてしまうケースも。最悪の場合誤認逮捕など身に覚えのない犯罪行為の矢面に立たされることになるため、極めて悪質です。
2不正アクセス:退職済み社員
職場を去ったにも関わらず、職場ネットワークにアクセスをやめない元従業員。機密情報を抜かれた、備品購入を不正に行われていた等、被害報告が多々あります。
3内部社員による不正利用
企業内の関係者による機密情報や情報資産の窃取、持ち出し、漏えい、消去、破壊などの不正行為被害が報告されています。「自社の従業員に不正行為をするものはいない」という過信は禁物です。個人毎にアカウントを発行していれば、内部不正の際に「誰がどのデータにアクセスしたか」が分かりますが、退職社員のアカウントを不正利用されれば、誰がアクセスしたか分からなくなり、犯人特定が出来ません。
こころ
ひえぇぇぇ…ブラックハッカーの格好の餌食ですね…
不正送金や電子マネーの被害ニュースを思い出した!!
不正送金や電子マネーの被害ニュースを思い出した!!
不要アカウント管理方法の提案
1ルールに従って不要アカウントの無効化・削除を実施する
不要なアカウントを業務システムに残さないようにする為に、無効化・削除時の社内ルール(情報セキュリティポリシー)を整備しましょう。下記に一例を記載いたしますので、ご参考下さい。
- パスワードの有効期限を設け、一定期間アクセスが無ければ無効化・削除をする。
- 休職中のアカウントは無効化をする。
- 部署毎にアカウントの管理を行う。部門責任者にも介入して貰うことによって、把握しきれていないユーザーの管理も可能に。削除申請書の出し忘れチェックにもなります。
2定期的なアカウントの棚卸
アカウントの棚卸により、本来の無効化・削除タイミングで作業漏れが発生していた場合の対応も可能。同時に、アクセス権限の見直しをお勧めします。
こころ
人の手作業も入るので、作業漏れも多く発生すると思う。
そして、インターネットは世界中とつながっているから、不正アクセスは世界中のどこからでも行われる可能性がある。
アカウントの管理など、出来ることから1つづつ危険をつぶしていこう!
そして、インターネットは世界中とつながっているから、不正アクセスは世界中のどこからでも行われる可能性がある。
アカウントの管理など、出来ることから1つづつ危険をつぶしていこう!