GMOトラスト・ログイン ブログ シングルサインオン(SSO)や
認証に関する話題

4月の新入社員対応で潜む「2つの罠」——初期パスワードとシャドーITの見直し

2026/03/25

password&shadowit.png

 

2026年4月、貴社には何名の新入社員が加わりますか?

新しい仲間を迎える喜びの一方で、ID管理やアプリ利用の見直しが必要になる時期でもあります。

特に、入社時に設定される「初期パスワード」の運用と、社員が気付かないうちに使い始める「シャドーIT」は、セキュリティの弱い部分になりやすいポイントです。

本記事では、新年度のオンボーディングを安全かつスムーズに進めるために、今すぐ見直すべきID管理の基本を整理します。

 

1. 罠その1:見落とされやすい「初期パスワード」の運用

多くの企業では、入社日にPCや社内システム用の「初期パスワード」を配布します。

しかし、このパスワードの運用が不十分な場合、攻撃の入り口になりかねません。

変更の確認が不十分

「あとで変えておいて」という指示だけでは、数ヶ月間初期設定のまま残るケースもあります。

初期パスワードは、製品やサービスごとに共通だったり、推測されやすい場合が多いとされているため、変更が遅れるほどリスクが高まります。

推測しやすいパターン

Welcome2026Company_Initial_1 のような、日付や会社名を含むパスワードは、攻撃者にとって推測しやすい候補です。

一部の事例では、初期設定パスワードや予測しやすいパスワードがきっかけで不正アクセスに至ったケースが報告されています。

複数サービスでの共通化

複数のSaaSに同じパスワードを使い回すと、ひとつが漏れた際に他のサービスにも影響が広がります。企業の実態調査では、パスワードの使い回しや初期設定のままのIDが、インシデントの起点になっているケースも少なくありません。

 

2. 罠その2:新入社員が増やす「シャドーIT」のリスク

新入社員は、業務効率や使いやすさを重視するため、自ら使い慣れたツールを業務に持ち込むことがあります。

こうした「社内制度を通さず利用されるツール」を 「シャドーIT」 と呼び、情報管理の観点から注意が必要です。

未許可のAIツールの利用

「議事録をまとめたい」などの目的で、個人契約のAIチャットやクラウドサービスに社外秘の会議内容を入力するケースがあります。

本来は社内で管理される情報が、外部サービスに流出するリスクを孕んでいます。

個人クラウドへの保存

「自宅でも仕事がしたい」「端末を乗り換えたい」という理由で、私的なストレージサービスに資料をアップロードするケースもあります。

こうしたファイルは、企業のセキュリティポリシー外で管理されることになり、情報漏洩の可能性が高まります。

シャドーITは、必ずしも悪意があって起きるわけではなく、業務の利便性を求める心理から自然に発生するリスク要因の一つです。

3. 解決策:ID管理を仕組みで整える

これらのリスクを減らすには、「社員に気をつけて」と呼びかけるだけでなく、運用に組み込む仕組みを整えることが重要です。ID管理やSaaSの統合を支えるIDaaS(GMOトラスト・ログイン)は、以下のポイントで役立ちます。

3-1. 初期パスワードの管理を整理する

  • 初期パスワードは、入社と同時に社員が自ら変更するよう強制設定しておく。
  • 一定期間で変更を強制する仕組みや、推測されやすい文字列を除外する設定を導入する。

3-2. パスワード管理をシンプルにし、認証方式を充実させる

  • 単一のID(SSO)で複数のSaaSにアクセスできるようにすることで、パスワードの管理負担を減らす。
  • ワンタイムパスワードやアプリ通知など、多要素認証(MFA)を導入し、単一のパスワードだけに頼らない構造にする。

3-3. 新入社員用のアカウントを一元管理

  • 入社と同時に、必要なSaaSのアカウントを一括で発行・削除する仕組みを導入する。
  • 退職や異動のタイミングで、IDの権限をまとめて再設計する「IDライフサイクル管理」を自動化すると、ID管理の見落としを減らしやすくなります。

3-4. シャドーITの発生を抑える仕組み

  • 会社が認めたアプリやツールを一覧化し、社員が簡単にアクセスできるようにする。
  • 利用可能なSaaSを一元管理することで、社員は「選ぶ」対象が明確になり、勝手なツールの利用が減りやすくなります。

4. よくある質問(Q&A)

Q1. 新入社員に多要素認証(MFA)を導入するのはハードルが高いですか?
A1. 最近のMFAは、スマートフォンアプリの通知やワンタイムコードなど、直感的な操作が多いです。入社時研修の一部として操作を確認しておけば、5分程度で基本的な設定は完了するのが一般的です。

Q2. 退職者が発生した場合の対応はどうなりますか?
A2. IDaaSを活用すると、退職者のアカウントを1つ停止するだけで、連携している複数のSaaSへのアクセスが一括停止しやすくなります。IDの「消し忘れ」による不正アクセスリスクを大きく減らすことができます。

Q3. シャドーITを完全に防ぐことは可能ですか?
A3. 100%防ぐことは困難ですが、「使えるSaaSをSSO経由で整理する」「アクセスログを監視する」ことで、不審な利用傾向を早期に発見・対応する体制を整えることが可能です。

まとめ:新年度のスタートを「整理された環境」から

4月からの新体制を支えるのは、整理されたID管理環境です。初期パスワードの運用や、シャドーITのリスクを見直すことで、新入社員が安心して業務に集中できる環境を整えられます。

GMOトラスト・ログインは、初期費用を抑えつつ、SSOや多要素認証・ID管理の自動化を支援するツールの一つです。まずは自社のID管理の課題を整理し、どの程度自動化・統合を進めるかを決めることからスタートしてみてください。

【無料】4月の入社ラッシュに間に合う!
GMOトラスト・ログインの試用はこちら

無料トライアルを申し込む
カテゴリー
記事一覧