なぜ必要か?
「退職した社員のアカウントが残ったまま」──これは中小企業でよくある光景です。放置されたアカウントは、不正利用や情報漏洩の格好の入り口になります。さらに権限が膨れ上がったアカウントは、侵入されたときの被害を拡大させる要因に。最小権限の徹底と定期的なアカウント棚卸しは、セキュリティ強化の最も基本的な取り組みです。
最小権限の考え方
- 必要な人に、必要な権限だけを与える
- 役割に基づいた権限設計(RBAC)を採用する
- 一時的な権限は期限をつけて剥奪する
これにより、攻撃者が侵入しても「広がらない」状態を作れます。
よくある失敗(落とし穴)
- 休眠アカウントの放置:退職者や異動者のアカウントが残り続ける
- 管理者権限の乱発:便利だからと安易に付与し、侵入時の被害範囲が拡大
- 例外ルールが恒久化:一時的に付与した権限が恒常化し、誰も外さない
「一度設定したら終わり」という発想が最大のリスクです。
実践ステップ(棚卸しの習慣化)
月次リセットを実施
月に1度、全アカウントと権限を一覧化し、不要なものを削除。
役割ベースで付与する
個人に直接権限を割り当てず、役割(営業・経理・管理者など)をベースに付与。
月次リセットを実施
「来月末まで」など有効期限を設け、棚卸し時に自動でチェック。
監査ログを残す
誰がいつ権限を変更したかを記録しておけば、トラブル時の追跡が容易。
まとめ
最小権限と棚卸しは、コストをかけずに始められるセキュリティ強化策です。「毎月リセット」を合言葉に、アカウント管理を習慣化することが最大の防御になります。
