企業において、人事異動は日常的に発生します。なお、「人事異動」という用語には、従業員の配置や役職の変更にとどまらず、採用や退職といった、会社組織におけるあらゆる人事上の異動や変更が含まれます。こうした人事異動が発生するたびに、情報システム部門や総務部門には、「アクセス権限の設定と管理」といった業務対応が求められます。
近年では、ファイルサーバを活用した情報共有が社内外で一般化しており、「誰がどのリソース(ファイル)にアクセスできるか」、そして「それが適切に管理されているかどうか」は、セキュリティ・ガバナンス、業務効率の観点から極めて重要なテーマとなっています。
今回は、人事異動の種類ごとに発生するファイルサーバのアクセス権限の設定および管理の課題、そしてそれに対する具体的な対策について解説します。
企業における代表的な人事異動は、「新卒採用」「中途採用」「人事異動」「休職」「退職」の5つです。人事異動が発生すると、その種類に応じたアクセス権限の新規設定や見直しが必要となります。以下の表は、その代表的な例です。
| 人事異動 の種類 |
発生 タイミング |
設定する数 | 特徴 | 付与される権限の例 | 懸念点 |
|---|---|---|---|---|---|
| 新卒採用 | 主に年度ごと (例:4月入社) |
多い (数十〜数百名) |
権限の設定は画一的 | メール、勤怠、社内ポータル、チャットなど、全新入社員に共通する最低限のリソースへのアクセス権限 |
|
| 中途採用 | 適時 (通年) |
少ない (数名〜十数名/月) |
業務内容に応じて個別設定が必要 | 配属部署や役職、職務内容に応じて、柔軟なアクセス権限を設計する必要がある |
|
| 人事異動 | 主に年度ごと (例:4月、10月など)(通年) |
中程度 (部署単位での異動、数十名規模) |
個別設定が必要で、かつ柔軟な移行対応が求められる | 新しい所属部署のシステムやファイルへのアクセス権限を付与。引き継ぎ業務がある場合、旧部署のアクセス権限も一時的に保持する必要あり |
|
| 退 職 | 適時 (通年) |
少ない (1〜数名/月) |
アカウント削除、アクセス権限の撤去が中心 | 原則として一切付与されない(完全削除) |
|
| 休 職 | 適時 (通年) |
少ない (1〜数名/月) |
必要最小限のアクセスを一時的に維持 | 社内連絡や復職準備に必要な最低限の情報のみ |
|
アクセス権限の設定が求められる場面は、人事異動の発生時に限りません。たとえば、新部署や新規事業の立ち上げやプロジェクト発足時などにも必要とされます。特にプロジェクトにおいては社外パートナーが関与するケースも多く、権限の範囲が拡大するため、より慎重かつ厳格な管理が求められます。
なお、企業が通常業務で使用しているOSは、ほとんどがWindowsです。Windowsにおけるアクセス権の設定操作は比較的シンプルであり、PC操作に慣れていればそれほど難易度は高くないため、それぞれの部署でも設定は可能でしょう。しかし、情報セキュリティの観点から、権限の設定作業は情報システム部門など社内で定められた担当者に限定すべきです。
また、アクセス権限は業務内容や所属に応じて個別に設定されることが多く、とくに中途採用者や人事異動時には、設定が煩雑になりがちです。一方で、新卒採用者の場合、基本的に設定内容は一律となります。反面、対象人数が多くなるため、作業量が膨大になります。
なお、Windowsのアクセス権設定機能には、複数のフォルダやアカウントに対する一括設定機能が標準では備わっていません。そのため、複数のアクセス権を効率的に登録・設定するには、外部ツールやPowerShell(※)などを活用する必要があります。
※PowerShell :Microsoftが開発したWindowsのシステム管理や自動化タスクを実行する、クロスプラットフォーム タスク自動化ソリューション。
社内でWindows Server の「Active Directory(アクティブディレクトリ)」を利用している場合、アクセス権限には Active Directory 上のグループやユーザが設定されます。基本的な設定手順は以下の通りです。
※参考:Microsoft Learn「アクセス制御の概要」
https://learn.microsoft.com/ja-jp/windows/security/identity-protection/access-control/access-control
採用・異動・退職などの人事異動にともなうアクセス権限の管理は、業務効率と情報セキュリティの両面において重要な意味を持ちます。しかし、手動での設定や明確な基準の欠如によって、権限の過剰付与・削除漏れなどのトラブルが発生し、重大なリスクにつながることもあります。以下に代表的な4つの課題を紹介します。
職種・部署・役職ごとに必要なアクセス権限の基準が明文化されていない場合、設定が都度対応となり、担当者の負担が増します。たとえば、異動者に対して旧部署のリソースへ一定期間アクセス権を残す場合、「一定期間」が明確でなければ、不要な権限を長期間保持することになりかねません。特にISMS(情報セキュリティマネジメントシステム)認証取得を検討する企業にとっては、こうした権限設定ルールの明文化と運用が不可欠です。
退職者が出た場合、セキュリティの観点から、アカウントやアクセス権限は速やかに削除する必要があります。しかし、実際には削除が遅れたり、忘れられたりするケースも少なくありません。たとえば、退職者が有給休暇を消化している場合、最終出勤日と退職日のどちらに削除すべきかどうかが曖昧で、そのまま放置されてしまうことがあります。また、派遣社員や業務委託者の場合、契約終了の情報がシステム部門に共有されず、アカウントが残ったままになるケースもあります。
さらに、退職者が外部パートナーに共有していたURLなどがそのまま残ってしまい、外部からアクセス可能な状態が続くケースも見受けられます。
こうした退職者の権限に関する対応の遅れは、重大なセキュリティインシデントを招く可能性があるため、慎重な対応が求められます。
※なお、休職者についても、退職者と同様にアカウントを削除するか、最低限の情報(社内規則や連絡事項など)だけにアクセスできるよう制限するかの対応方針を定めておく必要があります。
アクセス権限は、人事異動のたびにアカウント作成・削除、所属情報の更新・変更が必要になります。前述したように、新年度は新卒社員の入社や人事異動が集中し、設定作業が膨大になります。手動での対応はミスや遅延の原因となり、業務全体に影響を与える恐れがあります。
従業員数が500名程度を超える組織では、手作業でのアクセス権限設定・管理が難しいという声をよく頂きます。組織構造や業種によって異なるものの、それ以上の規模では自動化ツールの導入が現実的と考えます。
業務に使用する各種システム(メール、業務アプリ、ファイルサーバなど)で、個別にアクセス権限の設定が必要な場合、人事異動1件に対して複数の設定作業が発生します。個別設定が必要なシステムが増えれば増えるだけ、作業負荷が増し、設定ミスや漏れのリスクが高まります。
最近ではクラウドサービスの活用も一般化してきています。担当者の負担軽減を図るために、そして設定ミスによるセキュリティリスクの発生や業務への影響を防ぐために、各システムのアクセス権限については、可能な限り一元管理をするべきです。
前述の4つの課題は、主に次の2つの対策によって根本的な解決が可能です。
まず重要なのは、アクセス権限の付与・削除に関する明確なルールの策定と社内での周知徹底です。基本的に、アクセス権限の設定・運用は情報システム部門などの専門部門が担いますが、ルールが整備されていれば、各対応をスムーズかつ統一的に進めることができます。
なお、「どのようなルールを整備すればよいかわからない」という場合は、ぜひ私たちARIにご相談ください。長年にわたり蓄積してきたファイルサーバ管理のノウハウをもとに、組織体制や業務内容に応じた、実践的で運用可能なルール策定をご提案いたします。
もうひとつのポイントは、アクセス権限の設定・管理・可視化を一元的に行える仕組みの導入です。たとえば、Active Directory(AD)にはアクセス権の「可視化機能」が標準では用意されていないうえ、複数アカウントの一括設定も不可です。さらに、Google ドライブなどのクラウドサービスはADの管理対象外であるため、組織全体で複数のシステムを横断して一貫性のある管理を行うことは困難です。このような課題を解決するには、オンプレミスとクラウドの両方に対応し、「設定・管理・可視化」を統合的に行える専用ツールの導入が不可欠です。
現在、私たち ARI では、こうしたニーズに応えるために、アクセス権限の「設定・管理・可視化の一元化」を実現する新システムを開発中です。このシステムには以下の機能を搭載予定です。
※あくまで予定であり実際の製品が持つ機能とは異なる可能性があります。
これらの機能により、業務効率の大幅な向上と、セキュリティリスクの最小化を両立することが可能となります。リリースが近づきましたら、あらためて詳細情報をご案内させていただきますのでどうぞご期待ください。
※各サービスのロゴおよび名称は、各サービス提供企業の商標または登録商品です。
Copyright ©AR advanced technology All Rights reserved.
ARIはAWSのコンサルティングパートナーに 認定されています。
