自分の業務の見直し

学習のねらい

ゼロトラストの考え方を組織全体で浸透させるためには、個々人が自分の業務におけるセキュリティリスクを定期的に見直し、改善していく習慣が不可欠です。このレッスンでは、自分の業務環境やアクセス権限を棚卸しし、不要なリスクを排除するための具体的な見直し方法を学びます。

1. 毎日触る業務SaaS / データソース / 共有相手の棚卸し

日々の業務で何気なく使っているSaaSやデータ、そして情報を共有している相手について、定期的に棚卸し（現状の整理）を行うことで、見過ごされているリスクを発見できます。

• 利用SaaSの確認: 自分が毎日、毎週利用している業務SaaS（例: Slack, GitHub, Salesforce, Google Driveなど）をすべてリストアップしてみましょう。
  • 「本当にこのSaaSは業務に必須か？」
  • 「このSaaSのセキュリティ設定は適切か？」
  • 「使っていないSaaSにアクセス権限が残っていないか？」
• データソースの確認: 自分がアクセスしているデータ（顧客情報、開発コード、社内資料など）はどこに保存されていますか？
  • 「そのデータはどのくらいの機密性があるか？」
  • 「アクセス権限は適切に設定されているか？」
  • 「バックアップは取られているか？」
• 共有相手の確認: 誰とどのような情報を共有していますか？
  • 「共有している相手は、本当にその情報が必要な人だけか？」
  • 「共有設定は『閲覧のみ』で十分な場合もあるのではないか？」

これらの棚卸しを通じて、不要なツールやデータへのアクセス、広すぎる共有範囲など、潜在的なセキュリティリスクを発見できます。

2. 退職者 / 異動者のアクセスが残っていないか

組織内で人が入れ替わる際、退職者や異動者のアクセス権限が適切に削除されていないケースは、セキュリティ上の大きな脆弱性となります。

• 退職者のアカウント: 退職した社員のアカウントがそのまま残っていると、不正アクセスのリスクが高まります。アカウントの無効化や削除は、退職処理の一部として確実に行われるべきです。
• 異動者の権限: 部署異動した社員が、異動前の部署の機密情報にアクセスできる権限が残っていると、情報漏洩のリスクにつながります。異動先の業務に必要な権限のみを付与し、異動前の不要な権限は速やかに削除する運用が必要です。
• 定期的な監査: IT部門や管理者は、定期的にアクセス権限の一覧を監査し、退職者や異動者の権限が適切に処理されているかを確認しましょう。

これは個人の意識だけでなく、組織としての運用ルールが重要になりますが、もし「あの人のアカウント、まだ残っているな」と感じたら、IT部門に報告するのも大切な行動です。

3. 半年ごとの見直しを定期業務化

セキュリティ環境は常に変化するため、一度見直したら終わりではありません。定期的な見直しを業務プロセスに組み込むことが重要です。

• 見直しの頻度: 半年に一度など、定期的なタイミングを決めて、自分の業務環境やアクセス権限を見直しましょう。
• チェックリストの活用: 何を見直すべきか明確にするために、簡単なチェックリストを作成しておくと便利です。
  • 「現在利用していないSaaSのアクセス権限は削除したか？」
  • 「共有フォルダのアクセス権限は適切か？」
  • 「自分のパスワードは定期的に変更しているか？」
  • 「2FAは有効になっているか？」
• 上司やIT部門との連携: 見直しの結果、疑問点や改善点が見つかった場合は、上司やIT部門に相談し、適切な対応を取りましょう。

このような定期的な見直しは、自身のセキュリティ意識を高めるだけでなく、組織全体のセキュリティ体制を強化することにもつながります。

まとめ

自分の業務におけるセキュリティリスクを低減するためには、日々の業務で利用するSaaSやデータ、共有相手の棚卸し、退職者や異動者のアクセス権限の確認、そして半年ごとの定期的な見直しが重要です。これらを習慣化することで、ゼロトラストの原則を着実に実践していきましょう。