従業員の退職や異動後も残存している「休眠アカウント（オーファンアカウント）」は、情報漏えいや不正アクセスの原因となる重大なリスク要因です。特に複数のSaaSツールを導入している環境では、アカウントの見落としや管理漏れが発生しやすく、セキュリティやコンプライアンスの維持に支障をきたす可能性があります。

本記事では、休眠アカウントの概要、発生要因、特定方法、および具体的な対策についてご紹介します。

‍

休眠アカウントとは

休眠アカウントとは、有効な利用者が存在しない状態のまま放置されているユーザーアカウントを指します。主に従業員の退職・異動時にアクセス権限が適切に削除されなかった場合などに発生します。これらのアカウントは、攻撃者による不正利用の入り口となり得るため、的確な管理が求められます。

‍

休眠アカウントに関する主な課題

以下のような状況が、休眠アカウントの発生要因となります。

• 従業員の退職・異動に伴う対応の遅延
  　退職や異動後もアカウントが残存し、不要なアクセス経路が維持される可能性がある。
  
• SaaSの利用状況把握の難しさ
  　複数のSaaSを導入している環境では、各サービスごとのアクセス管理が煩雑になり、アカウントの見落としが発生しやすい。
  
• アカウントライフサイクル管理の不備
  　アカウントの状態を一元的に可視化できていない場合、利用実態のないアカウントの特定や管理が困難となる。
  

これらの課題は、セキュリティリスクおよびコンプライアンス違反の原因となるため、組織における適切な対処が求められます。

‍

休眠アカウントの特定方法

休眠アカウントの検出には、手動と自動の両手法を組み合わせることが有効です。

手動での特定方法

• 定期的なアカウント棚卸
  　定期的にユーザーアカウントを精査し、不要・不正なアカウントを洗い出す。
  
• ログイン状況の監視
  　長期間ログインのないアカウントを確認し、使用実態の有無を判断する。
  

自動での特定方法

• レポート機能とアラートの活用
  　不審なアクティビティを検知するレポートや通知機能により、異常なアカウントを早期に把握可能。
  
• アクセスレビューの実施
  　定期的なアクセス権限のレビューを自動化し、継続的なアカウント状態の把握を支援。

‍

リスク軽減に向けた対応策

休眠アカウントの特定後は、以下のような対策を講じることでリスクを効果的に軽減できます。

• アカウントの自動無効化
  　退職時などにアカウントを即時無効化するワークフローを自動化し、人的ミスを抑制。
  
• ユーザー管理の一元化
  　Josysのような一元管理プラットフォームを用いることで、SaaS全体のアカウント状況をリアルタイムに把握可能。
  
• ポリシーに基づくアクセス制御
  　職務に応じたアクセス権限を付与する「ロールベースのアクセス制御（RBAC）」を徹底し、不適切な権限付与を防止。

‍

長期的な管理体制の構築

休眠アカウントの再発を防ぐためには、継続的な運用体制の整備が重要です。

• 定期的なアクセス権限レビューの実施
  　不要なアカウントを排除し、現状に即したアクセス制御を維持。
  
• RBACの導入と運用
  　組織の役割に応じてアクセスを一元管理し、アカウント管理の効率化とセキュリティ強化を両立。
  
• 明確な退職プロセスの整備
  　退職時のアクセス削除手順を標準化し、対応漏れを防止。自動化ツールの併用により、さらなる精度向上が期待できます。
  

たとえば、複数のSaaSツールを利用するリモートチームにおいて、Josysを活用することで、アカウントの追加・削除を自動化できます。この仕組みにより、常に最新のアクセス状態が維持され、休眠アカウントの発生を最小限に抑えることが可能です。

‍

まとめ

休眠アカウントは、情報漏えいやセキュリティ侵害のリスクを高める要因です。自動化・一元化・ポリシー運用を組み合わせることで、アカウント管理を最適化し、組織全体の安全性と業務効率を向上させることが可能です。

Josysは、SaaSおよび端末のライフサイクル管理を包括的に支援するソリューションを提供しています。 ユーザーアカウントの可視化・統制強化に、ぜひご活用ください。