初めての情シス日記

未経験で社内SEに転職して社内IT立て直しに挑戦する奮闘記

同じアカウントを複数人で使い回す運用ってアリ?というお話

アカウントの使い回し

概要/あらすじ

実務未経験から情シスに転職。

従業員約300名規模、都内に2拠点、地方に4拠点の会社(非IT業種)で上司と2名体制。

上司は上司としての役割を一切果たしていないため、自分が裏で動いてこの会社の情シスを立て直すことに決めた。

情シスの業務の一つにアカウント管理があるが、その管理状態がずさんであり、セキュリティ上よくないものであった。

こんばんは、ばーふぃんです。

アカウント管理って情シスにはつきものな業務です。

先日メールアカウントの整理をしていたのですが、これまたわけの分からないアカウントが多数存在していたことが判明。

特に目立ったのが、同じアカウントを複数人で使い回すという運用。今回は、アカウントの使い回しについて考えていきたいと思います。

同じアカウントを複数人で使い回す運用ってアリ?

結論、少人数でかつ、ログイン情報(アカウント名、パスワード)を知っている人間が限れられているという状態であればナシではないと思います。

例えば、システム管理用として情シス数名で使用するようなものとか、ありがちではないかと思います。

大事なのは、そのアカウントを使用しているのが誰か、というのを管理できているかどうかにあるかと思います。

不特定多数で同じアカウントを使い回すのはセキュリティ上よくない

誰がそのアカウントを使用しているかの管理が追いつかない

今回は、メールアカウントを例に考えます(でもアカウントに関する考え方は他のシステムでもだいたい同じです)。

私がいる会社では、同じメールアカウント(info@のような共有メールアドレス)を大多数の人数で使い回しているという運用を行われていました。

だいたい何人くらい?と思われるかもしれませんが、それすらも分からないレベルの管理状態です。が、推定するに30人は超えているでしょうという規模感です。

しかも、私の会社では業務に私物デバイスを好き放題使われているという別問題が存在しており(別の機会にでも書きます)、誰がどのアカウントにどのデバイスを使用してログインしているのか、何も分からないという極めてカオスな状態です。

人の入れ替わりが激しいため、定期的なパスワード変更も行われているわけでもなく、退職した人が普通にメール見れている可能性があるという状態です。

退職者がメール見放題のアカウント使い回し運用

しかも、利用者がパスワードを知っている状態のため、情シスが知らないところでログイン情報(アカウント名、パスワード)が芋づる式に知れ渡ってしまい、歯止めが効かない状態になってしまっているのです。

上述の通り、少人数での使い回しであれば、人が入れ替わったらパスワードを変更し、使用社内で情報共有し合えば済む話です。

が、人数が増えれば増えるほど、情報共有が大変になります。

大人数でのアカウント使い回しは、使用状態が全く把握されていないというのは論外ですが、まともに管理をしようとしても運用が大変です。

誰がそのアカウントで作業をしたのか特定できない

一般的にシステムアカウントというのは、ログや履歴というのは、そのログインしたアカウント名で残るものです。

そして、基本的に社内システムというものは人1人に対して1アカウントという運用を取るので、このアカウント名=この人、という特定をすることができます。

1人1アカウント

しかし、不特定多数で同じアカウントを使い回している場合、そのアカウント名=この人、という紐付けのし方をできないため、アカウント名までは追えても誰の履歴なのかを追うことができないのです。

アカウント使い回しのリスク

少人数であれば、その中で「この作業誰がやったの?」と確認すれば分かりますが、不特定多数になってくるとそうもいかないでしょう。

そのため、アカウントは極力人1人に対して1アカウントとした方が望ましいのです。

メールアカウント情報が不特定多数に知れ渡ってしまった場合の対策

パスワードを一旦リセットしてしまう

私の会社では現在はメールソフトを使用しているため、使用者には負担が掛かりますが、まずは一旦パスワードリセットしてしまいましょう。

そうすれば、退職者はログインすることができなくなり、新しいメールを受信できなくなります。ただ、上述の通り、私の会社では業務に私物デバイスを好き放題使われているので、個人スマホや PCで既にPOP受信しているメールは、もうどうにもできませんが・・・

その後は、使用者にパスワードを展開するのか、パスワードを展開せずに個別に情シスがデバイス1台1台メールソフトに設定していくのかは任意ですが、芋づる式にパスワードが漏れいてくのを防ぐという意味では後者の方がいいかもしれません。情シス担当者は大変ですけどね。

メールアドレスをメーリングリスト化する

次のステップとして、info@のような共有のメールアドレスは、アカウントとして扱うのではなくメーリングリストとして運用するのが一般的です。

そうすることで、まずデバイスのメールソフトに対して1台1台アカウントの設定をする必要もありませんし、人の入れ替わりの際には、メーリングリストのメンバーさえきちんとメンテナンスをしていれば、セキュリティも担保することができます。

私がいる会社で使用しているメールサーバはしょぼ過ぎて、機能としてメーリングリストを使える数が限られていたため、今回は全てをメーリングリスト化することはできませんでしたが・・・

運用コストが高過ぎるメールサーバのお話

まとめ

アカウントのログイン情報を、複数人で使いまわす運用は、セキュリティ上あまり良くないです。

とはいえ業務の都合上、止むを得ず使い回しが必要になる場合は、きちんと運用方法を取り決め、管理を徹底するようにしましょう。

アカウント管理がずさんであると、セキュリティホールになり情報漏洩に繋がる一要因となります。

コメント

コメントはまだありません