「退職した社員のアカウントは、ちゃんと全部消えていますか?」
この質問に、自信を持って「はい」と答えられる情シス担当者は、実はそれほど多くありません。
ある中堅企業では、退職した社員のクラウドストレージのアカウントが、退職から半年経っても有効なまま残っていました。発覚のきっかけは、そのアカウントへの不審なログイン記録です。放置された正規アカウントは、攻撃者にとって「正面から堂々と入れる本物の鍵」になります。幸い大事には至りませんでしたが、悪用されていれば顧客情報の流出という最悪のシナリオもあり得た事案でした。
SaaSが当たり前になった今、退職者アカウントの削除漏れや、情シスが把握しきれていないシャドーITは、特別な会社で起きる珍しい事故ではありません。どの組織でも構造的に”普通に”起きています。
💡 この記事でわかること
- なぜ削除漏れ・シャドーITが「構造的に」起きてしまうのか
- 「社内の内側は安全」がなぜ通用しなくなったのか(例え話で理解できる)
- 情シスが今日から始められる現実的な一歩
この記事ではZscaler専門のプリセールスエンジニアの監修のもと、SaaS時代のアカウント管理とゼロトラストの関係を、専門知識ゼロでもわかるように解説します。
なぜ「削除漏れ」「シャドーIT」は普通に起きてしまうのか
まず押さえておきたいのは、これは担当者の能力や注意不足の問題ではない、ということです。むしろ今の環境では「起きて当たり前」の構造があります。理由は大きく3つです。
① SaaSの数が増えすぎた
営業支援、チャット、ファイル共有、勤怠、経費精算……部門ごとに別々のSaaSが導入され、情シスが会社全体の利用状況を一望できなくなっています。
② 入退社処理が手作業に頼っている
SaaSごとに管理画面が違うため、入社時の発行も退職時の削除も、一つずつ手で対応するしかない現場が少なくありません。10個のSaaSを使っていれば、退職処理のたびに10回の削除作業が発生します。そのうちの一つを忘れれば、それが「削除漏れ」です。
③ 現場が情シスを通さず契約してしまう
無料プランや個人のクレジットカードで、部門が独自にSaaSを導入する。これがいわゆるシャドーITです。情シスが存在を知らないので、棚卸しの対象にすら入りません。
⚠️ 削除漏れもシャドーITも、誰かのミスというよりSaaSが分散していることの必然的な副産物です。だからこそ、仕組みで対処する必要があります。
「社内ネットワークの内側だから安全」が通用しない理由
なぜ、放置されたアカウント一つがそれほど大きなリスクになるのか。その答えは、私たちが長く前提にしてきた「守り方」が、すでに時代に合わなくなっていることにあります。
🏰 従来のセキュリティ:お城の門のイメージ
これまでの境界防御型セキュリティは、お城の構造に例えられます。城壁という「外と内を分ける境界」さえ守れば、城内の人間は全員信頼できるという考え方です。社員は社内ネットワーク(=城内)に入れば、比較的自由にシステムへアクセスできました。
❌ 問題点:この門を一度突破されると城内が無防備になる
攻撃者は城内を自由に歩き回り、重要な情報にアクセスし放題になります。ここで効いてくるのが、冒頭の「削除漏れアカウント」です。放置された正規アカウントは、まさに城門を正面から通れる「本物の鍵」。怪しい侵入を試みなくても、正規の入口から堂々と入れてしまうのです。
🚨 「製品を入れているから大丈夫」とは限りません。実際、EDR(端末の挙動を監視するセキュリティ製品)を導入していた大企業でも、侵害を防げなかった事例があります。製品の有無以上に、「把握できていないアカウントや経路が残っていないか」が問われます。
🛡️ ゼロトラスト:全通路に検問所を設けるイメージ
ゼロトラストは発想を根本から変えます。城内に入れた人間であっても、部屋から別の部屋へ移動するたびに検問所で身分確認を行うという考え方です。
✅ すべてのアクセスで毎回確認する3つのこと
- この人は本当に正規のユーザーか
- このデバイスは安全か
- このアクセスは正当な理由があるか
仮に攻撃者が削除漏れアカウントで「城内」に入れたとしても、各部屋の検問所で止められるため、被害を最小限に抑えられます。これがゼロトラストの核心である「何も信頼しない、常に検証する」という考え方です。
そしてSaaS時代において、守るべき境界は「ネットワークの内外」ではなく、「アカウント」そのものへと移っています。誰がどのアカウントを持ち、それが今も本当に必要なのか——ここを把握できていないことが、そのまま防御の穴になるのです。
情シスが今日から始められる、現実的な一歩
「ゼロトラストを導入しましょう」と言われても、明日から全社のシステムを作り変えるのは現実的ではありません。専任チームのない情シスならなおさらです。
ですが、ゼロトラストの入口にあたる部分は、特別なツールがなくても今日から着手できます。それは「自社のアカウントを正確に把握する」ことです。Zscaler専門のプリセールスエンジニア曰く、出発点となるのは次の3つです。
✅ ① SaaSとアカウントの棚卸し
今、社内でどんなSaaSが使われ、誰がどのアカウントを持っているかを洗い出します。現状の「見える化」が、すべての出発点です。把握できていないまま対策を進めても、抜け穴は塞がりません。
✅ ② シャドーITの洗い出し
📌 シャドーITの典型例
- LINEで仕事のやり取りをしている
- 個人のGoogleドライブに業務ファイルを保存している
- 無料の翻訳サービスに社内文書を貼り付けている
会社が把握していないところで使われているツールを見つけ出し、管理の土俵に乗せます。これらを放置したままでは、抜け穴が残ったままになります。
✅ ③ 退職・異動時の「確実な削除」フローを整える
入社時の発行と、退職・異動時の削除を、確実に実行できる流れを整えます。あわせて最小権限——必要な人に必要な範囲だけ——を徹底すれば、万が一の際の被害も小さくできます。手作業の限界は、仕組みで補うのが現実解です。
🎯 完璧なゼロトラストを一気に作る必要はありません。「自社のアカウントを正確に把握し、不要なものを確実に閉じる」。これだけで、最も多い穴である削除漏れとシャドーITを塞げます。
🗣️ 監修者コメント(Zscaler専門 プリセールスエンジニア)
「従来のVPNは『社内に入ったユーザーを信頼する』という考え方が前提でした。しかし、クラウド利用やリモートワークが一般化した現在、その前提は大きく変化しています。重要なのは『侵入されないこと』だけでなく、『侵入された場合でも被害を最小限に抑えること』です。ゼロトラストはそのための設計思想であり、中小企業にとっても現実的な選択肢になっています」
まとめ──アカウント管理は、ゼロトラストの入口
最後に要点を整理します。
📋 この記事の3つのポイント
1. 削除漏れ・シャドーITは構造的に起きる
担当者の失敗ではなく、SaaSが分散したことの必然。だから仕組みで対処する
2. 「内側は安全」はもう前提にできない
守る対象はネットワークの内外から「アカウント」へ移った。放置アカウントは”本物の鍵”になる
3. まずは棚卸しと可視化から
完璧を目指す前に、自社のアカウントを正確に把握する。それがゼロトラストの実質的な入口
放置された一つのアカウントが、会社全体のリスクになる時代です。まずは「自社のアカウントを、自分たちが正確に把握できているか」を問い直すことから始めてみてください。
執筆:[sakuma]/情報セキュリティ専門ライター(work-escape.com)
コメント