キャスリーン・ハーリー氏は、中小企業向けにインフラソリューションと次世代テクノロジーを提供するテクノロジー企業Sage Inc.の創業者である。
従業員が企業を去る際、その損失に対する最初の対応はHR部門から来る。しかし、その影響は企業全体に波及し、サイバーセキュリティの面でもリスクをもたらす。
しばしば過小評価されるこれらのサイバーセキュリティリスクが重なると、侵入者が悪用できる隙が生まれる。こうした退職はソーシャルメディア上で公然と目立つ形で取り上げられることが多いため、この変化を悪用する機会を見つけるのは、注意深く観察するだけの問題である。
知らないことの危険性
従業員が退職する際、彼らは企業に関する情報を持ち出す。その従業員がIT基盤の一部を担っていた場合、セキュリティに関する複雑な情報(文書化されていないものも含む)が失われる可能性があることは容易に想像できる。意思決定の背景、状況を引き起こした人物や原因に関する情報、購入に至った判断材料など、すべてが従業員と共に出て行ってしまう。
IT部門内の組織的記憶の喪失は、セキュリティ問題が発生した際に、なぜあるソフトウェアが導入され、設定され、あるいは放棄されたのかを説明できる人がいなくなると、実際に大きな隙となりうる。新しい従業員は物事を異なる方法で設定したいと思うかもしれないが、それは理解できることだ。しかし、彼らは最初になぜ特定の方法で物事が行われたのかという背景知識を持っていない可能性がある。
IT基盤の一部ではない情報を持った従業員の退職によって、情報は目立たない形で漏洩する。部門や事業部の成功を支える製品の支持者や伝道者が企業を去ると、基盤となるインフラが同じように十分にサポートされるまでに長い時間がかかることがある。
変化は難しい
従業員の採用やアカウントの終了は、アカウント管理の問題やヒューマンエラーに最も脆弱な2つの時期である。アカウント終了の際には、通常、IT部門がアカウントを無効化し、認証情報を取り消し、複数のシステムにわたって権限を削除するという定義されたプロセスがある。
しかし、特定の状況では、一定期間アクセスを有効にしておく必要があり、あらゆるルールには例外がある。これらの移行期間はミスが発生しやすく、手順の見落としや権限の誤った割り当てが重大なセキュリティ問題を引き起こす可能性がある。終了したアカウントに部分的なアクセスを残すと、侵入者があたかも従業員がまだ在籍しているかのように悪用できる隙が生まれる。その従業員が管理者権限を持っていた場合、このミスは壊滅的な結果をもたらす可能性がある。
逆に、オンボーディングプロセスの間に経験不足によるミスを犯すと、同じレベルのリスクが生じる可能性がある。誰かに過剰な権限が与えられると、彼らはアクセスを許可されていない情報を見る可能性があり、またはアカウントが侵害された場合に悪意のある行為者がそのアクセスを悪用する可能性がある。
変化の時期は常にリスクを伴い、オンボーディングとオフボーディングの間にまだ存在することが多い人的要素と組み合わさると、これはITアカウント管理の最もリスクの高い要素の一つとなる。
私の電話はどこ?
人員の入れ替わりの期間中、機器が紛失したり、承認なしに「交換」されたりする絶好の機会となる。これには、ラップトップや電話機などの在庫管理されるべき大型機器だけでなく、USBスティックやキーカードなど、オフボーディング時に返却されるべき小型デバイスも含まれる。
適切なオフボーディングプロセスの目的は、データを含む可能性のある、または企業情報へのアクセスを許可するデバイスを回収することである。そうすることで、返却された機器を消去し、再発行したり、適切に処理したりすることができる。
従業員が良くない条件で退職する場合(あるいはそうでない場合でも)、機器を再利用したいという誘惑により、企業データが元従業員の次の行動に左右される可能性があり、それはまったくコントロールできない。
リスクの軽減
従業員の移行期において最大のリスクは、アカウント管理プロセスに関するものである。ITディレクトリと連携するHRIS(人事情報システム)を導入することで、オンボーディングとオフボーディングの際のヒューマンエラーが発生しにくくなる。
例えば、HRISで開始されるオンボーディング要求は、手動入力を必要とせずに自動的にITシステムに流れ込むことができ、これによりヒューマンエラーのリスクの多くが排除される。
とはいえ、プロセスの特定の段階では人間が関与する必要がある。知識共有が必要なワークフローや手順を明確に文書化すること。知識がペアやパートナーシップで共有されるようにすること。これにより、組織全体の効率性と一般的な理解が強化され、誰かが組織を去った場合の潜在的な知識の損失を軽減することができる。
最後に、強力な在庫管理システムを維持し、HRとITの間のパートナーシップを育成して、機器の回収と管理が企業文化に組み込まれるようにする。これにより、機器の紛失を防ぐことができる。
