第2回 SaaS時代のIDライフサイクル管理
SaaS時代のIDガバナンス崩壊が経営を揺るがす3つのリスクと対策
技術者ブログ
本連載(全6回)では、SaaS時代におけるIDライフサイクル管理の課題と解決策を体系的に解説します。ID管理の分断を放置すると、単なる業務の煩雑さにとどまらず、経営そのものに直結する深刻なリスクが顕在化します。
本記事では、IDガバナンス崩壊が引き起こす「3つの経営リスク」を整理し、経営層・監査部門が押さえるべき視点を解説します。
Q. IDガバナンス崩壊で何が問題になるのか?
IDガバナンスとは、「誰が」「どのシステムに」「どの権限で」アクセスできるかを統制する仕組みです。これが崩れると「過剰権限の放置」「退職者アカウントの残存」「監査対応の非効率化」といった事態を招き、経営課題へ直結します。
リスク1:内部不正の温床
IDガバナンスが機能していないと、従業員に本来不要な権限が残り続けるケースが発生します。
・過剰権限の放置:不要なシステムにまでアクセスできる従業員が生まれる
・経営への影響:機密情報の持ち出しや不正利用が発覚すれば、信頼失墜・株主対応・メディア対応に直結
IPAの「情報セキュリティ10大脅威 2025」では、アクセス権限の悪用が第4位に位置づけられています。
引用
<攻撃手口>
◆ アクセス権限の悪用
付与された正当な権限を悪用し、組織の機密情報の窃取や不正操作を行う。必要以上に高いアクセス権限が付与されていると、より重要度の高い情にアクセスでき、より大きな被害発生のおそれがある。また、複数人で端末やアカウントを共用していると、誰が不正アクセスしたのか確認できない。
◆ 在職中に割り当てられたアカウントの悪用
離職後も在職中のアカウントが有効だと、アクセスできてしまう。
表 情報セキュリティ10大脅威2025「組織」向けの脅威の順位
| 順位 | 「組織」向け脅威 | 初選出年 | 10大脅威での取り扱い(2016年以降) |
| 1 | ランサム攻撃による被害 | 2016年 | 10年連続10回目 |
| 2 | サプライチェーンや委託先を狙った攻撃 | 2019年 | 7年連続7回目 |
| 3 | システムの脆弱性を突いた攻撃 | 2016年 | 5年連続8回目 |
| 4 | 内部不正による情報漏えい等 | 2016年 | 10年連続10回目 |
| 5 | 機密情報等を狙った標的型攻撃 | 2016年 | 10年連続10回目 |
| 6 | リモートワーク等の環境や仕組みを狙った攻撃 | 2021年 | 5年連続5回目 |
| 7 | 地政学的リスクに起因するサイバー攻撃 | 2025年 | 初選出 |
| 8 | 分散型サービス妨害攻撃(DDoS攻撃) | 2016年 | 5年ぶり6回目 |
| 9 | ビジネスメール詐欺 | 2018年 | 8年連続8回目 |
| 10 | 不注意による情報漏えい等 | 2016年 | 7年連続8回目 |
出典:IPA「情報セキュリティ10大脅威 2025」
リスク2:外部侵入の突破口
退職者や委託先のアカウントが残存していると、それは攻撃者にとって「見えない侵入口」となります。
・ゴーストアカウントの放置:退職者や委託先アカウントが残ると攻撃者に狙われやすい
・経営への影響:情報漏洩が発生すれば、損害賠償・ブランド毀損・株価下落など二次被害に直結
リスク3:監査コスト増大と経営の不透明化
IDや権限の管理がバラバラだと、監査対応は一気に非効率化します。
・非効率な監査対応:サービスごとにCSV出力し手作業で突合するため膨大な工数がかかる
・監査法人の指摘:退職後30日以上アカウントが残存、権限承認フローが記録されていない等は典型的な指摘
・経営への影響:経営情報の把握が遅れ、意思決定が滞るリスク
解決の方向性:ライフサイクル統制による“ガバナンス再構築”
IDガバナンス崩壊を防ぐには、人事情報を起点にした統制ルールの明文化と可視化が欠かせません。
入社・異動・退職といった人事イベントごとに、誰がどの基準で権限を承認したのかを一元的に記録し、経営層や監査部門が把握できる仕組みを整えることが重要です。単なる自動化にとどまらず、人事データを基点に組織全体のルールを再設計することが、
属人運用から脱却し、持続的な統制を実現するための第一歩となります。
押さえておきたいポイント
・人事起点の統制設計 → 組織全体でルールを明文化し、責任範囲を明確化する
・権限変化の可視化 → 入社・異動・退職に伴う付与・剥奪を監査可能な形で記録する
・経営の透明性確保 → ID統制を仕組み化することで、経営・監査・ITが同じ情報を共有できる
次回予告
次回は、IDガバナンスを理解するうえで必須となる「IGA(Identity Governance & Administration)」を取り上げます。
統制・配信・監査という3つの視点から、ガバナンス強化の具体策を解説します。
関連ソリューション
クラウドID管理ソリューション「Keyspider」は、
単なるアカウント管理ツールではなく、日本企業特有の複雑な人事・組織構造に対応したクラウド型のIDライフサイクル基盤です。
人事発令情報をトリガーに、入社・異動・退職といったライフサイクル全体でIDと権限を自動的に制御。
ノーコード設定により運用をシンプル化し、セキュリティリスクの低減、ガバナンス強化、業務効率化を同時に実現します。
・人事データと連動したライフサイクル管理
・権限の自動付与・自動剥奪(ノーコード設定対応)
・監査証跡の一元管理と可視化
クラウドとオンプレミスの両環境に対応し、既存システムとの連携も容易。
グループ全体のセキュリティと運用効率を両立させる、国産クラウドID管理ソリューションです。
👉 導入事例を見る:[国内大手企業での活用事例はこちら]
👉 詳しくは[Keyspider製品ページ]をご覧ください。