GMOトラスト・ログイン ブログ シングルサインオン(SSO)や
認証に関する話題

「退職者が会社のIDを利用して不正アクセス」これ、トラスト・ログインで皆無にできます

2019/09/03

1.jpg2019年7月に警視庁は、勤務していた不動産会社を退職後も、会社で利用していた「登記情報提供サービス」を23回利用していた男性を逮捕しました。被害額は数千円程度とごくわずかですが、この事件はID管理の難しさをよく示す事件です。

そして、こうした事件の防止に最も役立つのが「トラスト・ログイン」です。

 

 

なぜ事件が起こったのか

2.jpg

 

まずはじめに「登記情報提供サービス」について理解しましょう。

3.png

このサービスは、法務省の関連団体である「一般財団法人民亊法務協会」が提供するサービスです。かつては法務局に行って、都度申請と支払いをしなければ見られなかった不動産登記情報をが、インターネットとクレジットカード決済で即座に閲覧できるサービスで、不動産の売買や仲介を行う企業の多数が利用しています。扱う情報の性質上高い公共性・信頼性が求められていることから、民間企業で同じサービスを提供する会社はなく、民亊法務協会からのみ独占的に提供されています。

 

ちなみに、「登記情報提供サービス」は、以下の5タイプの利用方法があります。

4.png

  • 一時利用(ログイン・決済情報を登録しない。即時利用開始可能)
  • 個人利用(ログイン・決済情報を登録する。即時利用開始可能)
  • 法人利用(ログイン情報を登録し、かつ200人分のIDを作成可能。決済は銀行口座から引き落とし[後払い]。利用開始まで1ヶ月かかる)
  • 公共機関利用(公共機関専用)
  • 公共電子確認(公共機関専用)

今回の事件では、どの会員情報登録を行っていたかは定かではありませんが、勤務していた不動産会社を退職後にIDとパスワードを持ち出しての利用であるため、「個人利用」もしくは「法人利用」のいずれかであると推察できます。

もし個人利用のID、パスワードを利用していたとなると、「会社全体で1つのID、パスワードを使い回しており、容疑者が退職後もID、パスワードを変更していなかった」ことになります。

また、もし法人利用のID、パスワードを利用していた場合は、「管理者が個々の従業員のアカウントを作成しID、パスワードを管理していたが、退職後にアカウントを削除し忘れた」ことではないかと推察します。

 

 

事件は防止できたのか

5.jpg

この事件は容易に防止できました。もし不動産会社で「個人利用のID、パスワード」を社員間で使い回していた場合は、容疑者が退職後にパスワードを変更すれば問題は解決できました。しかし、この場合はパスワード変更の影響が全員に及ぶため、そもそも法人で複数人が利用する場合は、個人利用の形態で使用すべきではありません。

次に、「法人利用のID、パスワード」の場合ですが、容疑者が退職する際に、管理者が容疑者のアカウントを削除して、今後利用できなくすれば今回の事件は発生していません。

今回の場合は、いずれの利用法だったとしても、管理者の方は変更を忘れてしまった結果、アクセス権がない退職者から不正にアクセスされるという事件になってしまいました。しかし、これは「管理者が怠慢だったから」と、管理者だけを責めても仕方ありません。

一部の大手不動産会社を除くと、大半の不動産会社は地域密着型の小規模な企業であることがほとんど。このため、従業員も少なく、情報システム担当者を置けるケースは稀です。よって、経営者が片手間でこうした作業を行うケースが多いと推察できます。従業員が退職するとなると、かなりの手続きが発生するため、その中からパスワード変更またはアカウント削除作業が漏れてしまうのも、仕方がないと言えます。

変更作業の1つ1つは、さほど難しいものではありません。問題は、「各サービスごとにアカウント削除やパスワード変更の手順が異なること」「異なる作業を多数行う必要があること」です。アカウント削除やパスワード変更は頻繁に発生する作業ではないため、作業を行う経営者なども、都度どのような手順で行うかを覚えていないため、調べながら、手戻りしながら手順を進めることになります。結果、かなりの時間と労力が取られてしまうことになります。

あまりに面倒なので、「退職時にすぐに変えなくても大丈夫だろう。これまでも大丈夫だったから」と経営者が思ってしまうのも仕方ないといえます。

 

 

「面倒だから後回し」をせずに不正アクセスを防ぐトラスト・ログイン

6.jpg

「変更するには都度調べながら行わねばならない」「変更するアカウントが多数ある」、よって「時間がかかる」「面倒だから後回し」となり、不正アクセスが起こることをご説明しました。これの対策として最適なのが「トラスト・ログイン」です。

トラスト・ログインは「IDaaS」と呼ばれる、クラウドサービス・オンラインサービスのID・パスワードをまとめて管理できるサービスです。日本企業が日本で開発しているサービスであるため、「登記情報提供サービス」にももちろん対応しています。

7.png

トラスト・ログインの対応アプリ検索画面

 

これ以外にも、2019/8時点で5,200以上のサービスに対応しているため、例えば「サイボウズ」「Google」「Office365」「OBCID」「チャットワーク」などにも対応しています。

コンセプトは極めてシンプル。従業員が入社したときに、管理者は各サービスで利用するID、パスワード情報をトラスト・ログイン上に登録。従業員は、トラスト・ログインから全てのサービスにアクセスするため、ID・パスワードを記憶する必要がありません。そして、従業員が退社するときに、従業員のアカウントを削除すると、紐づくすべてのサービスのID・パスワードもトラスト・ログインから利用できなくなります。

従業員はそもそも、ID・パスワードを教えられていませんので、退職後に不正アクセスしようとしてもできない、という仕組みです。

トラスト・ログインが便利なのは、管理者側だけでなく、従業員側にもメリットがあるという点です。「ID・パスワードを教えずに利用させる」ということは、言い換えると「従業員はID・パスワードを覚えておかずともシステムを利用できる」ということです。

各サービスごとに異なるパスワードを覚えるのは大変面倒なことなので、トラスト・ログインを導入すると従業員側にも喜んでもらえます。一般的なセキュリティ強化対策は、従業員からすると「手間ばかり増えて面倒」なものですが、トラスト・ログインはセキュリティ強化と従業員の面倒を取り除くことを一緒にできてしまう点が大きな強みです。

ぜひ資料をご請求いただき、「不正アクセスの防止」と「従業員の面倒をなくす」ことを両立してみてください。

カテゴリー
記事一覧