派遣社員/請負業者などベンダーのID・パスワード管理を適切に実施するには

2019/03/16

企業において、「正当な権限のある人に対してのみ、システムへのアクセス、ならびツールの利用を許可する」ことは、企業のITセキュリティを保つうえで、当然行われるべき事項となります。

こうしたアクセス管理は、通常はIDとパスワードで管理されていますが、実は比較的長期間勤務する正社員に比べて、派遣社員や請負業者などの「ベンダー」に付与するID・パスワード管理がより重要かつ困難であることが判明しています。

ベンダーのID・パスワード管理の困難さ

ai700.jpg

IT調査会社のIDCは、アメリカ、イギリス、フランス、ドイツで、企業などの組織に勤めるシニアマネージャーの調査を明らかにしました。この結果、組織の正社員・正規職員ではなく、派遣社員・請負社員に対する権限の付与が組織における最大のリスクだという回答が上がっています。

派遣社員・請負社員は、正社員と比べて解雇が容易であるため、業務単位・プロジェクト単位で募集して、業務完了後に契約を終了することが多々あります。一般的に、契約開始時には、社内の正規のプロセスを通じてシステムへのアクセス、業務アプリの利用開始を行っていますが、契約終了・業務終了時に全てのシステム・アプリの利用終了が適切に行われているか、多くの場合明確ではありません。

これは、以前のように「1つのログインIDに、全てのシステムアクセスの権限が紐づいている」「イントラネットにアクセスしなければ、社内システムを一切利用できない」時代ではなくなっているためです。

かつては、企業のイントラネットにアクセスできるかどうかが、システムならび業務アプリの利用の全てを意味していました。しかしながら現在は、「クラウドを一切利用せず、イントラネットだけで業務を完結する組織」はほとんどありません。

無料で使える「トラスト・ログイン」の資料請求はこちら

 

ベンダーの種類を理解する

caller700.jpg

では、改めて業務における正社員以外のスタッフ(ベンダー)について正しく理解してみましょう。

1.正社員と同様の広範な業務に携わるベンダー

正社員と同様に、毎日出社して、正社員と同様の広範な業務を行うタイプのベンダーです。日本の雇用形態で言うと「派遣社員」型のベンダーと言ってよいでしょう。

このタイプのベンダーは、広範なシステムアクセス権限があり、正社員と同様のアプリを利用して業務を遂行しています。勤務期間は比較的長く、通常1年更新など、年単位での契約に基づいて勤務しています。

2.プロジェクト単位で業務に携わるベンダー

「業務システムの更改」「夏のマーケティングキャンペーン業務支援」「Webの更新プロジェクト」など、明確な特定業務に従事するタイプのベンダーです。日本の雇用形態で言うと「業務請負」「業務委託」が多いようです。

このタイプのベンダーは、基本的にリモートで業務を行うため、毎日出社することはありません。SkypeやChatworkなどのアプリで業務のやり取りを行い、出社しての打ち合わせは週に1度、また月に1度程度という場合が多いです。また、業務を依頼する側がPCなどの機器を貸し出す例は少なく、それぞれの会社で利用している機器をそのまま利用します。

3.タスク単位で業務に携わるベンダー

比較的シンプルなタスクを一定時間行う業務が該当します。「コールセンターの電話発信業務」「電話着信・応対業務」「受付業務」といったものが該当します。雇用契約は業務内容により異なりますが、上記1や2と異なり、「アルバイト」が多いのが特徴です。

専用のツール(コールセンターのCTIシステム、来客受付システムなど)に対してのみのアクセス権を持つ場合もあれば、他のシステムへのアクセス権を持つ場合もあり、企業により扱いは異なります。

 

ベンダーの種類ごとのリスク

green700.jpg

上記のベンダーはそれぞれセキュリティ的にきちんとカバーされている部分と、特にリスクとなる部分がそれぞれあります。

chart.PNG

どのタイプのベンダーであっても、それぞれ異なるリスクがあります。よって、「この契約形態であればリスクは低い」と言い切ることはできません。どの種類のベンダーであっても、セキュリティ上のリスクはあるのです。

ベンダーのID・パスワード管理を徹底する「IDaaS」

cloud700.jpg

正社員に比べて流動性が高く、勤務期間も短い場合が多い「派遣社員」「業務請負」「業務委託」「アルバイト」に対しては、複数のシステム・アプリの利用権限を付与した後、業務が終了して権限が不要になった場合の権限の停止が正しく行われていない例が多くあります。

これは、権限を付与する担当者・管理者が複数人、また複数の部署に分かれていること、また退職時の処理に正しく盛り込まれていないことなどが原因です。権限付与処理は厳格に行っている組織も、権限停止処理は明確ではなかったり、各部門で独自に使っているアプリの権限停止を行われていないことが多数あります。

これは「正しく業務を遂行していない担当者が悪い」と誰かのせいにするのではなく、「システムやアプリの利用承認・停止プロセスが分散している体制が問題」と捉えることが望ましいと言えます。そして、理想的には、「全てのシステム・アプリの権限承認者は一部門(例:情報システム部門)に集約されるすべき」なのです。

こうしたシステム・アプリのID・パスワードの承認・停止を一元管理するサービスは、「IDaaS (読み方 アイダース,ID as a Serviceの略, クラウドでの企業向けID管理サービス)」と呼ばれて現在急速に普及が進んでいます。そして、その中で、高機能の企業向けIDaaSを無料で利用できるのが「トラスト・ログイン」です。

img_function_01.png

トラスト・ログインを利用することで、組織のシステム、ならび組織で利用するアプリにアクセスする正社員・ベンダーのID・パスワードを無料で管理することができます。管理者は、ユーザーの権限の付与ならび停止を、トラスト・ログインのクラウド上の管理画面から簡単に実施でき、誰がどのシステム・アプリを利用できるのかすぐに分かる仕組みとなっています。ぜひ新規登録してお試しください。

無料で使える「トラスト・ログイン」の資料請求はこちら