プライバシー設定
このサイトでは、第三者のウェブサイト追跡技術を使用して、当社のサービスを提供および継続的に改善し、ユーザーの興味に応じた広告を表示します。同意します。また、将来的に有効となる限り、いつでも同意を取り消したり、変更したりすることができます。
拒否
[すべて承認]
すべての記事

アクセス権レビューとは|J-SOX・ISMS対応のための実施方法と自動化ガイド

By
ジョーシス編集部
Last updated:
June 3, 2026
この記事は読むことができます 5
この記事は 1 分で読むことができます
By
ジョーシス編集部
この記事は 1 分で読むことができます
共有
コピー

J-SOX監査やISMS審査の準備を進めていると、必ずと言っていいほど「アクセス権の棚卸しを実施してください」という要求に直面します。情報システム部門の担当者にとって、これは決して軽い作業ではありません。

対象となるSaaSは数十から数百にのぼり、ユーザー数が多い企業では権限データの収集だけでも相当な時間がかかります。各SaaSの管理画面からユーザーリストをエクスポートし、Excelに転記して、部門マネージャーへメールで確認を依頼し、回答を回収し、不要な権限を一つひとつ削除していく。このサイクルを年に1〜2回繰り返す作業は、情シス担当者の工数を大きく圧迫します。

しかも、この作業は一度終われば完了というものではありません。人員の入れ替わりや組織変更のたびに権限は変動し、きちんと管理しなければ「退職者のアカウントが残っている」「部門異動後も旧部署の権限を持ち続けている」といった状態が常態化します。それがセキュリティインシデントの温床になるケースは珍しくありません。

この記事では、アクセス権レビューの定義と目的から、J-SOXやISMSが求める具体的な要件、実施手順と証跡の残し方、放置によるリスク、そして自動化による工数削減の方法まで、情シス部門の担当者が実務で必要とする情報を体系的に解説します。

アクセス権レビューとは何か

アクセス権レビューとは、組織内の全ユーザーが各システムやSaaSに対して保持しているアクセス権限を定期的に確認し、不要な権限や過剰な権限を見直すプロセスです。セキュリティ管理の中でも「アカウント管理」の中核をなす取り組みであり、ゼロトラストセキュリティの基本原則とも深く関わっています。

「アクセスレビュー」「User Access Review(UAR)」「権限棚卸し」「アクセス権棚卸し」などさまざまな呼び方がありますが、いずれも同じプロセスを指しています。日本の規制対応の文脈では「アクセス権の棚卸し」という表現が使われることが多く、J-SOX関連の文書でもこの言葉が頻出します。

アクセス権レビューが対象とするのは、社内の基幹システムだけではありません。クラウドサービスが業務に浸透した現在では、Salesforce、Slack、Google Workspace、kintone、Box、freeeといったSaaSのアカウント管理も含まれます。社員一人あたりが利用するSaaSの数は年々増加しており、管理対象の広がりが棚卸し作業の難易度を高めています。

アクセス権レビューの目的

アクセス権レビューを実施する目的は、大きく3つに整理できます。

1つ目は、セキュリティリスクの低減です。退職者や異動者のアカウントが残ったままになっていると、不正アクセスや情報漏洩のリスクが高まります。アクセス権レビューによって不要なアカウントを定期的に棚卸しすることで、攻撃対象となりうる「侵入口」を最小化できます。

2つ目は、コンプライアンス要件への対応です。後述するJ-SOXやISMSをはじめ、多くの規制・認証制度がアクセス権の定期レビューを要求しています。適切な証跡を残して定期的に実施することが、審査や監査のパスに直結します。

3つ目は、過剰権限の排除です。最小権限の原則(Principle of Least Privilege)の観点から、ユーザーは業務に必要な最低限の権限だけを持つべきです。しかし実際には、プロジェクト対応や緊急対応で付与された一時的な権限がそのまま残り続けるケースが多く見られます。定期的なレビューがなければ、権限はじわじわと肥大化していきます。

「なんとなく残っている権限」がなぜ危険か

情シス担当者がアクセス権レビューの必要性を感じながらも、実際に脅威を実感しにくいのは「何も起きていないから大丈夫」という経験則が働くからです。しかし、セキュリティインシデントの多くは、攻撃者が不正に取得したアカウント情報を使って侵入することで始まります。

退職者のIDとパスワードが残っている場合、元従業員による内部不正はもちろん、そのアカウント情報がフィッシングなどで漏洩した際に外部から悪用されるリスクがあります。権限が適切に管理されていない状態は、組織の情報セキュリティの土台が揺らいでいることと同義です。

具体的なリスクシナリオを一つ挙げます。ある社員が退職後もクラウドストレージのアクセス権を保持しており、外部から顧客データをダウンロードするというケースは、実際に国内でも発生しています。アクセス権レビューを定期的に実施していれば、このような事態は退職処理の段階で防止できます。

アクセス権レビューが必要な法的・規制的背景

アクセス権レビューは「やれたらやりたい」任意の取り組みではなく、多くの企業にとって法的・規制的な要件として課せられています。対応が必要な主要フレームワークを確認します。

J-SOX(金融商品取引法)での要件

J-SOX(日本版SOX法)は、上場企業および連結子会社に対して財務報告に係る内部統制の評価と報告を義務付けています。IT統制の観点では「IT全般統制」の評価項目の中に「論理アクセス管理」が含まれており、ここでアクセス権の管理状況が問われます。

論理アクセス管理の評価では、以下の点が確認されます。

  • 業務処理上重要なシステムへのアクセス権が、職務権限に基づいて適切に付与・変更・削除されているか
  • アクセス権の付与・変更に承認プロセスが存在しているか
  • 定期的にアクセス権の棚卸しが実施されているか
  • アクセス権の棚卸し結果が記録として保存されているか

これらの要件を満たすには、「実施した」という事実だけでなく、誰がいつ何を確認し承認したかを示す証跡(エビデンス)が必要です。監査法人は、この証跡を基に内部統制の有効性を評価します。

証跡として求められる代表的なものは次のとおりです。

  • 棚卸しを実施した対象システムのリスト
  • 各ユーザーのアクセス権一覧とその確認結果(継続・削除・変更)
  • 確認を実施した管理者・マネージャーの承認記録
  • 不要権限を削除した実施ログ

関連記事: IT内部統制とは

ISMS(ISO/IEC 27001)での要件

ISO/IEC 27001:2022(JIS Q 27001:2023)では、附属書Aの管理策に「アクセス制御」が明示されています。特に関連するのがA.5.18「アクセス権限」であり、ここにアクセス権の定期的なレビューが求められています。

具体的には、アクセス権の付与・変更・削除の都度に承認プロセスを経ること、そして定期的にアクセス権の状況をレビューすることが要件とされています。認証審査では、次のような観点で確認が行われます。

  • アクセス権の定期レビューがポリシーとして定義されているか
  • ポリシーに従って実際にレビューが実施されているか
  • レビューの結果が記録として残っているか
  • 不要と判断された権限が適切に削除されているか

ISMS認証では「言っていること・やっていること・証拠があること」の三つ揃いが求められます。ポリシーだけ整備して実施できていない、実施しているが証拠がないという状態はいずれも不適合の指摘対象になります。

関連記事: ISMS対応でSaaS管理が問われる理由|情シスが押さえるべき管理策と実践手順

個人情報保護法・情報セキュリティガイドライン

2022年に施行された改正個人情報保護法では、個人データの安全管理措置の一環として、アクセス権限の管理が求められています。個人情報データベースにアクセスできる担当者を必要最小限に絞り、その状況を定期的に確認することは、安全管理措置の具体的な実施内容として位置付けられています。

個人情報保護委員会が公表している「個人情報の保護に関する法律についてのガイドライン(通則編)」では、「アクセス制御」として「担当者以外の者が個人情報データベース等にアクセスできないよう、アクセスできる者を限定し、権限を適切に管理すること」が安全管理措置の例として挙げられています。この要件を満たすには、アクセス権の付与と定期レビューの両方が必要です。

経済産業省が公表する「情報セキュリティ管理基準」やIPA(情報処理推進機構)の各種ガイドラインでも、アクセス権の定期的なレビューは基本的なセキュリティ管理の一項目として明記されています。上場企業でなくてもISMS取得を検討している中堅企業や、個人情報を大量に取り扱う企業にとって、アクセス権レビューの実施は実質的な義務に近い位置付けです。

参考:個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」

アクセス権レビューの実施手順

アクセス権レビューの進め方を、準備から証跡保存まで5つのステップに分けて解説します。手動実施の場合の標準的なフローとして参照してください。

Step1: 対象システム・SaaSのリスト作成

レビューを効率的に進めるには、まず「何を棚卸しするか」の範囲を確定することが必要です。企業で利用しているシステム・SaaSをすべてリストアップし、優先度を付けていきます。

優先度の判断基準は主に2点です。1点目は「機密情報・個人情報を取り扱っているか」です。顧客データベース、経理システム、人事情報システムなど、機密性の高い情報を扱うシステムは最優先で棚卸し対象に含めます。2点目は「業務継続性への影響度」です。システムが停止・侵害された場合に業務全体に波及するコアシステムは重点管理対象として扱います。

現実的には、全SaaSを同じ頻度・同じ精度でレビューするのは工数的に困難です。重要度が高いシステムは四半期ごと、その他のSaaSは半期ごとといった頻度での区分管理が現実的な運用です。

リスト作成にあたっては、IT資産管理ツールやSaaS管理ツールを活用するとSaaSの洗い出し漏れを防げます。シャドーITの把握も含め、全社で使われているSaaSを一元的に把握できている状態が前提として重要です。

対象システムの優先度付けには、次のような分類が参考になります。

優先度 対象 棚卸し頻度の目安
基幹システム・財務・人事・顧客DB 四半期ごと
主要SaaS(CRM・グループウェア・ファイル共有) 半期ごと
補助的なSaaS・ツール類 年1回

このように優先度を明確にしておくと、次回以降の棚卸し計画を立てるときにも判断基準として活用できます。

関連記事: SaaSアクセス管理とは

Step2: 現在のアクセス権データの抽出

対象システムが確定したら、各システムのユーザーリストとそのアクセス権データを取得します。手動実施の場合、各SaaSの管理画面からCSVをエクスポートしてExcelに集約するのが一般的な方法です。

取得すべきデータ項目は次のとおりです。

  • ユーザー名・メールアドレス(識別情報)
  • 所属部門・職位
  • 権限レベル(管理者・編集者・閲覧者など)
  • 最終ログイン日時
  • アカウント作成日

最終ログイン日時は特に重要です。長期間ログインのないアカウントは、退職・異動後に残ったまま放置されているケースが多く、削除の優先度が高い対象です。「90日以上ログインなし」「180日以上ログインなし」といった基準を設けてフィルタリングすると、見直しが必要なアカウントを効率的に特定できます。

SaaSの数が多い場合、この手順だけで相当な時間がかかります。20のSaaSから情報を手動で集約する場合、一つのSaaSあたり15〜30分かかるとすると、それだけで5〜10時間を要する計算です。

関連記事: アクセス権限 棚卸し 方法

Step3: 棚卸し票の作成と配布

アクセス権データを収集したら、部門マネージャーに確認を依頼するための棚卸し票を作成します。情シス担当者がすべてのユーザーの権限の要否を判断することはできないため、実際の業務を把握しているマネージャーに判断を委ねるのが適切です。

棚卸し票に含める最低限の項目は以下のとおりです。

  • ユーザー名・メールアドレス
  • 対象システム名
  • 現在の権限レベル
  • 最終ログイン日
  • 継続 / 削除 / 権限変更(マネージャーが選択)
  • 変更理由(削除・変更の場合のみ)
  • マネージャーの署名・確認日

確認依頼の送付には期限設定が不可欠です。「いつでもよい」という状態では回答が集まらず、棚卸し作業が長期化します。通常2〜3週間の回答期限を設け、期限前にリマインドを送ることが必要です。

Excelベースの棚卸し票は管理が煩雑です。メール添付での送受信では、どのバージョンが最新か把握しにくく、回答の集計にも時間がかかります。部門数・システム数が多い企業では、このコミュニケーションコストが大きな負担になります。

棚卸し票の設計でよくある失敗は、「確認してください」とだけ書いて送り、何を判断すればよいか不明確にしてしまうことです。マネージャーが迷わず回答できるよう、「このユーザーは現在このSaaSを○○の権限で使用しています。引き続き必要ですか?」という形式で、判断に必要な情報をすべて棚卸し票に含めることが回答率の向上につながります。

Step4: 不要権限の削除・変更

マネージャーから「削除」「変更」の回答を受けたアカウントについて、実際にシステム上で権限の削除・変更を実施します。

実施にあたってのポイントは2点あります。1点目は、実施前に再確認することです。棚卸し票の「削除」判定が誤記・誤解釈のケースもゼロではありません。特に管理者権限のアカウントを削除する場合は、対象ユーザーと所属マネージャーに最終確認を取ることをお勧めします。

2点目は、実施と記録を同時に行うことです。「いつ・誰が・どのシステムの・誰の権限を・どのように変更したか」をログとして残します。後の証跡として使えるよう、作業と同時に記録する習慣をつけることが重要です。

関連記事: 監査ログ 取り方 SaaS

Step5: 証跡の保存

アクセス権レビューの一連のプロセスが完了したら、証跡を適切な形式で保存します。証跡とは「実施した事実を第三者が確認できる記録」であり、J-SOX監査やISMS審査の場面で提示が求められます。

保存すべき証跡のセットは次のとおりです。

証跡の種類 内容
棚卸し実施計画書 実施時期・対象システム・実施責任者を記載した計画書
ユーザーリスト(実施前) 棚卸し開始時点のユーザー・権限一覧
棚卸し票(回答済み) マネージャーの確認・承認記録が入った棚卸し票
変更実施ログ 削除・変更を実施した作業ログ
ユーザーリスト(実施後) 棚卸し完了後のユーザー・権限一覧(変更前後の差分が確認できる形式)

保存期間は、J-SOXの場合は原則7年(財務諸表の保存期間に準じる)、ISMSの場合は組織のポリシーに応じて設定します。一般的には5〜7年が目安とされています。

アクセス権レビューの頻度と負荷

アクセス権レビューの実施頻度は、対象システムの重要度によって使い分けるのが現実的な運用です。

  • 重要システム(人事・経理・顧客データ等): 四半期ごと
  • 一般業務SaaS: 半期ごと
  • 低リスクなSaaS: 年1回

ただし実際には、頻度を増やすほど工数も比例して増加します。手動実施における工数の現実を試算してみます。

従業員500名、利用SaaS20種類の企業を例に挙げます。

  • 各SaaSからのデータエクスポート・集計: 約10時間(SaaSあたり30分)
  • 棚卸し票の作成・配布: 約5時間
  • マネージャーへのリマインドと回答フォローアップ: 約10時間
  • 回答集計・不要権限の削除実施: 約15時間
  • 証跡の整理・保存: 約5時間

合計で約45時間、つまり情シス担当者1名が1週間以上を費やす計算です。年2回実施すれば90時間以上が棚卸し作業に消えます。これは中堅企業の情シス担当者にとって、決して無視できない工数です。

この工数問題を解決するのがアクセス権レビューのツール化・自動化です。適切なツールを使えば、データ収集・依頼送付・承認フロー・削除実行・証跡保存のほぼすべてを自動化でき、工数を大幅に削減できます。

JosysのAccess Reviewsで自動化する

Josys Access Reviewsは、アクセス権棚卸しのプロセス全体を自動化するための機能です。手動実施で発生していた工数のほとんどを削減しながら、J-SOXやISMS審査が要求する証跡を自動的に取得できます。

マネージャーへの確認依頼を自動送信

従来のメール+Excel運用では、対象システムごとに棚卸し票を作成し、各部門マネージャーに個別送付する必要がありました。Josysでは、対象システムと対象ユーザーを設定するだけで、マネージャーへの確認依頼を自動送信します。

マネージャーはWebブラウザ上で各ユーザーのアクセス権について「継続」「削除」「権限変更」を選択し、承認するだけです。Excel添付のメールをやり取りする必要がなく、回答の集計作業も不要です。リマインドも自動送信されるため、情シス担当者がフォローアップに時間を使う必要がありません。

不要権限の削除アクションを自動実行

マネージャーが「削除」を承認したアカウントについては、Josysが対象SaaSのアカウント削除を自動で実行します。情シス担当者が各SaaSの管理画面にログインして手作業で削除する必要がなく、承認と同時に実際の権限変更が完了します。

Josysは350以上のSaaSと連携しており、主要なSaaSであれば一元的に管理できます。SaaS管理の観点でも、分散したアクセス権を一つのプラットフォームで棚卸し・削除できることは大きなメリットです。

J-SOX・ISMS対応の証跡を自動保存

棚卸しの実施記録、マネージャーの承認ログ、削除・変更の実施ログがすべて自動的に保存されます。J-SOX監査やISMS審査での証跡提出が必要になった際には、Josysから直接エクスポートして提示できます。

証跡の収集・整理に費やしていた作業時間がゼロになり、審査直前に慌てて証跡を掻き集める必要もなくなります。証跡は実施のたびに自動蓄積されるため、複数回分の実績を比較・提示することも容易です。

手動管理の場合、審査前に「昨年の棚卸し結果がどこにあるか分からない」「承認者の確認記録が残っていない」という状況が生じることがあります。Josysではすべての操作が監査ログとして記録されるため、そのような状況を根本的に防止できます。

工数削減の効果

先ほど試算した「従業員500名・SaaS20種類」の環境において、Josys導入後の工数変化のイメージは次のとおりです。

作業項目 手動実施 Josys利用
データ収集・集計 約10時間 自動(0時間)
棚卸し票の作成・配布 約5時間 自動(0時間)
フォローアップ 約10時間 自動(0時間)
回答集計・権限削除 約15時間 承認と同時に自動実行(約1時間)
証跡整理・保存 約5時間 自動(0時間)
合計 約45時間 約1時間

棚卸し作業の工数を95%以上削減できる計算です。年2回実施の場合、年間で80時間以上の工数が解放されます。

なお、JosysはSOC 2 Type 2認証を取得しており、セキュリティ面での信頼性も担保されています。機密性の高いアクセス権情報を扱うツールとして、セキュリティ要件を満たした運用が可能です。

まとめ

アクセス権レビューは、J-SOXやISMSへの対応という法的要件を満たすだけでなく、組織のセキュリティリスクを継続的にコントロールするための基盤となる取り組みです。

手動実施では工数負担が大きく、頻度を上げることが難しいという現実があります。一方で、頻度が低ければ権限の肥大化や不正アクセスリスクの放置につながります。この矛盾を解消するのが、ツールによる自動化です。

アクセス権レビューは「年1回やれば終わり」ではなく、組織変化に合わせて継続的に実施し続ける仕組みが求められます。Josys Access Reviewsのような自動化ツールを活用することで、審査対応のコストを抑えながら、実効性の高いアクセス管理を実現できます。

アクセス権棚卸しの効率化にご興味のある方は、Josysの機能詳細資料をご請求いただくか、無料トライアルでご確認ください。

アクセス権棚卸しの効率化にご興味のある方は、Josysの機能詳細資料をご請求いただくか、無料トライアルでご確認ください。

資料をダウンロードする(無料)

無料トライアルで試してみる

Interested in gaining full control
over your identities, applications, and files?

Sign-up for a 14-day free trial and transform your IT operations.

Try Now

ジョーシスの抜群のUXを
体験したい

SaaS&デバイス管理やライセンス最適化等に
関するデモ体験はこちら

今すぐUXを体験

まずは資料を確認したい

Josysの機能概要を1分で手軽に理解できる
資料を無料でダウンロード

資料ダウンロード(無料)

Questions? Answers.

No items found.

その他の記事

すべての記事
2026-04-30
2026年4月のジョーシス アップデート
2026-04-22
‍情シスの死角にあるShadow AI:Vercel事件が示した5つの盲点
2026-03-30
2026年3月のジョーシス アップデート
2026-01-29
2026年1月のジョーシス アップデート
Swipe to see more
View the Blog
support@josys.com
Japanese

エンドツーエンドのアイデンティティ
IT 部門にとってガバナンスを簡単に実現

機能
ジョーシスの全体像SaaSディスカバリーSaaSインサイトJosys AIアクセス申請と承認管理アクセスライフサイクルアクセスレビューAI連携ビルダーアプリカタログ
ソリューション
SaaSの可視化SaaSのセキュリティ業務効率化コストの最適化デバイス管理
サービス
SaaSドックデバイスライフサイクル SaaSライフサイクル ヘルプデスク 価格
コンテンツ
ブログ事例紹介デモライブラリお役立ち資料ナレッジセンターセミナーヘルプセンターAPIドキュメントプロダクトステータス
企業情報
会社情報ミッションキャリアニュース信頼とセキュリティ販売パートナー募集パートナーリストお問い合わせ
Copyright © 2026 Josys Inc. All Rights Reserved
プライバシーポリシークッキーポリシーサービス契約プロフェッショナルサービス規約DPAAI に関する補遺
No items found.