第1回 SaaS時代のIDライフサイクル管理

退職者アカウントを放置しない！ゴーストアカウント対策と内部統制強化のポイント

2025.11.04

技術者ブログ

本連載（全6回）では、SaaS時代におけるIDライフサイクル管理の課題と解決策を体系的に解説します。

「退職者アカウントが残ったままになっていないか？」
監査やセキュリティの現場で、いま最も多く聞かれる懸念のひとつです。
SaaSが急速に普及する中で、ID管理の分断が深刻化し、ゴーストアカウントは単なる運用課題にとどまらず、経営そのものを揺るがすリスクへと変化しています。
アクシオでは、この課題を「人事発令を起点としたライフサイクル統制」によって解決することを提唱しています。

フリー株式会社の調査によると有償SaaSの利用企業は61%と半数以上の企業が利用しています。また、2024年と比較すると有償SaaSを6個以上利用している企業の割合が増加している傾向にあります。

出典：フリー株式会社『情シスのSaaS利用実態レポート 2025年版』（2025年7月9日発表）

Q. ゴーストアカウントとは何ですか？

ゴーストアカウントとは、退職者や契約終了者のアカウントが削除されず残存している状態を指します。

・利用者がいないため、監視対象から漏れやすい
・内部不正や外部攻撃の入口となりやすい

日本企業では特に、複数のSaaSが部門単位で導入・運用されるケースが多く、
「どのシステムに、誰が、どの権限でアクセスしているか」を即座に把握することが難しくなっています。

SaaS普及が生む「分断」とリスク

SaaSが乱立すると、次のような分断が生まれます。
・SaaSごとの分断：サービスごとにID台帳が分かれ、全体像を把握できない
・人事との分断：入社・異動・退職などのイベントがID管理に自動反映されない
・属人運用の分断：特定の担当者に依存し、不在時には運用が滞る

この分断が積み重なると、内部統制・監査対応の両面で「見えないリスク」が発生します。
たとえば退職者アカウントの放置や、異動後も残存する過剰権限など、組織のガバナンスを根底から揺るがす問題が現場で静かに進行しています。

ゴーストアカウントが招く三重のリスク

放置されたアカウントは、次の3つの観点で大きな経営リスクとなります。

1. 内部不正：退職者が利用可能な状態を放置すると、不正利用や情報持ち出しにつながる
2. 外部侵入：攻撃者にとって残存アカウントは格好の侵入口
3. 監査コスト増：不要アカウントの存在確認・削除履歴の追跡に膨大な工数を要する

これらのリスクは、単なるシステム運用上の問題ではなく、経営の透明性やブランド信頼性に直結する統制課題と捉える必要があります。

解決策：人事発令を起点としたライフサイクル管理

ゴーストアカウントを防ぐためには、人事システムをID管理の「唯一の正」として扱うことが不可欠です。
アクシオの「Keyspider」は、人事発令情報とID管理をシームレスにつなぎ、IDライフサイクル全体を自動で最適化します。

・人事データとの密接な連携：所属・役職・雇用区分などの属性情報を自動で反映
・発令イベント連動：入社・異動・休職・復職・退職に応じて権限を自動付与・剥奪
・シミュレーション機能：変更前後の権限を事前に可視化し、統制の実効性を確保

これにより、ゴーストアカウントの発生を防止しつつ、運用負荷を大幅に軽減。
さらに、監査証跡が自動的に整備されることで、内部統制報告制度（J-SOX）にも対応可能です。

押さえておきたいポイント

・SaaS乱立は「管理・人事連動・属人運用」の分断を生む
・ゴーストアカウントは内部不正・外部侵入・監査コスト増の三重リスク
・人事発令ベースの国産ID管理基盤が、内部統制強化の第一歩

次回予告

次回は、IDガバナンス崩壊が引き起こす「3つの経営リスク」を解説します。
内部統制・監査対応・経営の透明性という視点から、リスクを具体的に掘り下げます。