資産データの適切な管理には
年末年始が迫り、年明け早々には年度初めの新入社員入社に向けた動きが始まると同時に退職者向け対応も必要になります。退職者アカウントを適切に管理できていないと悪意ある退職者に機密情報を持ち出されたり、利用していないシステム料金を支払い続けたりと言った意図せぬトラブルが発生しがちです。
かつて大きく報道されたニュースで退職(転職)者が機密情報を持ち出してライバル企業に持ち込んだケースを覚えていらっしゃる方も多いのではないでしょうか。今回は退職者アカウント等を適切に管理する手法を取り上げ解説します。
退職アカウント別パターン
とりわけ8月・12月・年度末である3月に「退職者」が集中する傾向にあります。退職者の管理は退職が発生してからでは遅いもの。雇用別に事例を見ていきましょう。
正社員退職者
上場準備の課程においてアカウント管理がきちんとなされているか通常はチェックが入ります。退職日や各アカウントの削除、停止のチェックリスト、上長の確認印が必須です。チェックリスト作成の際、各部署を回りながら契約ライセンス、利用システム、業務利用のためログインするWebサイトやサーバのリストアップ。VPNの利用などがあればリストに追加します。こうした地道な作業により抜け漏れは格段に減ることが報告されています。
業務委託入退場者
業務委託は企業によって管轄が人事ではなく、各現場・部署に委ねられているケースも多いもの。「いつの間にか契約を終了している」場合は取り扱い注意です。カードキーやPCを現場担当が預かっているケースも多く、無駄にライセンス費用を払い続けてしまったりと管理上の穴になりがち。
対応方式は大きく2つ想定され、人員管理に人事を挟み「集中管理」方式と業務委託の入退場に関わる「ワークフローに情シスを入れ管理」する方式。セキュリティ研修の受講が必要なほど管理意識の低い現場などでは人事が集中管理する方式をお勧めします。
アカウント削除など退職者管理には
退職者管理はアカウントを停止すれば終了では勿論ありません。よくあるトラブルや対応に要する方針を取り上げます。
退職者アカウントのメール
顧客と関係者を交えずメールを用いて受発注をしていたため発生したトラブル。急な退職では、数週間~数ヶ月後に相手側からの問い合わせにより問題が露見することがあります。過去のケースでは有償イベントへの参加を退職者がメールで発注してしまっており、「当日キャンセルについては料金を請求します」という相手からの連絡が請求書と共に届くというもの。
こういったケースでは、監査機能付きIMAP対応メールを導入しておくこと。メール容量も限られたPOPだとエビデンスとなるメールが削除されてしまったり、PC初期化段階でデータが消失して判別がつかなくなるリスクが高いのです。
アカウントに紐付いたファイル
また退職に伴い消えてアクセスできないファイルが大量発生する問題。オンプレミスで運用する場合はローカルファイルは必ずバックアップされていました。クラウドストレージの場合には個人フォルダにあるファイルにアクセスできなくなるケースが見られます。個人ローカルPCほどの困難はありませんが都度対応するのは大変です。
クラウドストレージによっては、個人フォルダを丸ごと任意の人に移管でき、たとえば上長へ移管すればある程度リスクを回避できます。とは言え、上長が退職した場合に退職済みメンバーのフォルダを抱えた上長のフォルダを誰に移管すればよいのかは機密性の観点から問題になりやすいもの。上長の退職が決まったら、情シス主導でフォルダの移管先や閲覧権限について協議しておくことが重要です。
アカウントに紐付くスクリプト
「Google App Script」など簡易スクリプトを業務に用いていた場合の影響も検討課題。課題となるのが「退職後のアカウント停止に伴い動作が止まるスクリプト」。「Slack」への通知botやニュース収集botなどたまに動作するスクリプトの場合、スクリプトが停止したことに誰も気づかないケースがあります。
業務にインパクトを与えるスクリプトも多数存在しており、退職が決まったタイミングで予定者を訪ね、そうしたスクリプトがないかを確認して共有アカウントに移行させるなどのオペレーションが重要なのは言うまでもありません。
資産管理システム導入の重要性
これは資産の管理対象者の端末にエージェントを導入、アプリやファイルの利用状況の把握やブラウザ閲覧履歴など常時管理・規制できるシステムのこと。対象従業員からすると監視されているように感じられ反発を招きやすいものですが、社員数が増えたタイミングでのトラブル回避や何らかの事故発生時における保険として導入にはメリットが多くあります。
情シスへの待遇が非常に悪く、退職が頻発していたある企業のトラブル事例では、腹に据えかねた情シス担当者が退職の際、デザインデータを持ち出してライバル企業に売り払い億単位の損害を出しました。しかし持ち出しの決定的な証拠がなかったことや後ろめたさも手伝い、企業側は特に法的な対応は取らなかったそう。
他にもよくあるのが退職間際のデータ持ち出し事例。自社内のクリエイティブ素材やソースコード、設計書、マーケティング、売り上げ、顧客情報などたくさんのケースが報じられています。「Google Workspaces」や「Microsoft 365」等のシステムでも上位プランでないと監査機能がなく、検知は難しい。過去デザインデータをコーポレートサイトの公開ディレクトリ上にアップロード、自宅からダウンロードしたケースもありました。
「自分が作ったモノだから・・」と悪びれず持ち出す社員も多く、「緊急事態」に備えた資産管理システム導入は今や「必須」となりつつあります。特に離職率が高い企業・組織であればシステム導入が強く求められます。
常日頃から挙動不審さが見られないかしっかりモニタリングしておくこと。どんな優秀な社員であっても、忠誠心や信頼性にゆらぎが生じる可能性はあるのです。導入していない場合であれば導入を検討してみること、導入済みであればモニタリングしやすいよう通知ルールを見直すなど管理・防御態勢をしっかりと整えていくことがこれからの企業運営で肝となってくるのです。