このページでは、ID管理における「幽霊ID」について解説しています。ID管理システムにも関連するキーワードなので、この機会にぜひ押さえておきましょう。
「幽霊ID」とは、長期間使われないままシステムに存在するIDの総称です。普段使われているIDを「アクティブ」と表現するのに対して、「休眠ID」と表記されることもあります。
具体的には、以下のようなものが幽霊IDと呼ばれています。
使われないまま長期間放置されている幽霊IDは、さまざまなリスクの温床にもなり得ます。ここでは、幽霊IDに潜む危険性をご紹介します。
幽霊IDはログインさえすれば利用できるため、第三者にアカウントを不正に使われてしまう危険性があります。
この幽霊IDの不正ログインに関して厄介なのが、「気づきにくい」という点です。幽霊IDは、その存在すら忘れ去られてしまっていることが多く、取り返しのつかないことになるまで不正ログインに気づかないということも起こり得ます。
幽霊IDを使って不正ログインされると、そのアカウントに登録されている情報を盗み見ることができてしまいます。さらに、そのアカウントに機密情報にアクセスできる権限が付与されていた場合、会社の顧客情報や技術リソースを持ち出されてしまうリスクが高くなってしまいます。
幽霊IDには、アカウント乗っ取りやなりすましのリスクもあります。第三者がIDの本来の持ち主に成りすまして犯罪行為を行ったことで、アカウントの持ち主が罰せられてしまう、などということにもなりかねません。
幽霊IDの放置は、悪意ある第三者の不正利用による問題発生のリスクを高めてしまいます。この不正利用をなくすためには、セキュリティ対策を講じることが大切です。例えば、以下のような方法が考えられるでしょう。
幽霊IDをなくすためにまず行うべきなのが、「ルール決め」です。例えば、退職日の○ 日後に削除する、育児休暇ほか一時休職時にはアカウントをロックするなどのルールを設けるようにしましょう。
ここで大切なのが、そのルールを確実に実行することです。ルールに基づいてID管理を徹底し、長期間放置されているIDをなくすことで、不正利用のリスク軽減につなげられます。
幽霊IDをなくすためには、定期的に棚卸・点検作業を行うことが大切です。使われていないIDを早期発見することで、不正利用による諸問題の発生を回避することができます。
幽霊IDの棚卸・点検作業に関しては、一度に大量のIDを確認しなければならないことから、人力のみではどうしても限界があります。近年はクラウドサービスの普及などにより、個人が保有するIDの数が膨大になっており、確認作業には相当な負担がかかってしまいます。
そこでおすすめしたいのが、ID管理システムを活用した幽霊ID管理です。ID管理システムでは、ユーザーが使用しているIDの情報を一元管理できるため、幽霊IDの存在にも気づきやすくなるでしょう。
また、レポート機能が搭載されているID管理システムでは、IDの利用状況をレポートにまとめて報告してくれるので、こちらも幽霊IDの発見に役立てられます。
使われないまま長期間放置された幽霊IDは、アカウント不正利用によるさまざまなリスクの温床になり得ます。とはいえ、人力で幽霊IDを管理するには、どうしても限界があります。
ID管理システムには幽霊ID管理を自動化できる機能が備わった製品もあるため、業務効率をアップして不正リスクを回避するためにも、導入することをおすすめします。
なお当サイトでは、おすすめするID管理システムをニーズ別に厳選してご紹介しています。こちらも併せてチェックしてみてください。
「ゼロトラスト」時代のID管理においては、IDが持つユーザー情報と権限を正しくコントロールし、かつユーザーに起こりえる人事イベントと正確に連動できることが重要です。このサイトでは、ゼロトラストに対応できるID管理システムを、企業のニーズ別に厳選して紹介しています。
※「ID管理」でGoogle検索上位30社を調査(2021年3月調査時点)。その中から、「IDの一元管理」「ID管理の効率化」「複数拠点のアクセス管理を一気通貫で強化」というニーズのいずれかに応えられる会社を、それぞれ1社ずつ紹介。