パスワードを忘れた? アカウント作成
13949190 story
情報漏洩

3人に1人が退職後も元職場のファイルやメールにアクセスできる 34

ストーリー by hylom
ありそう 部門より

セキュリティソフトウェアなどを手がけるKasperskyが世界14か国・7000人を対象に調査を行ったところ、33%(日本では34%)の回答者が、退職した職場の共有ファイルや共同作業向けサービス、メールに退職後もアクセスできると答えたそうだ(Kasperskyの発表Security NEXT)。

プロジェクトや会社に所属している人が抜けるたびにファイル共有や共同作業向けサービスのアクセス権を削除すると回答したのは37%(日本は22%)、定期的にアクセス権を確認・変更していると回答したのは43%(日本は30%)だという。

そのほか、37%(日本は14%)の回答者が社内の機密情報(同僚の給与・ボーナスや口座情報、パスワードなど)を偶然こういったシステム上で見たことがあると答えたという。

  • by Anonymous Coward on 2019年07月03日 13時51分 (#3644992)

    前の会社で会社に泊まりになって先に入り口のカギをかけたんですが
    しばらくしてカギを開けて入ってきた人がいました。なんと既に退職
    した人。見たい資料があったので来たらしい。部屋の電気を消して
    机のスタンドだけで仕事をしていたのでむこうも人がいるとは
    思わなかったらしい。

    辞める前に会社のカギを複製してたらしいんだけど…
    中小企業だとマンションの1室を会社にしたりとかでロクなセキュリティを
    かけていないところもそれなりにあると思うんだけど、辞めて行った人が
    入り口のカギの複製を持ってる事まで想定してカギを変更とかなかなか
    しないのが実情なのかもしれない。

    ここに返信
  • by nemui4 (20313) on 2019年07月03日 13時51分 (#3644993) 日記

    意外と多いですね。

    って、昨日ちょうどそんな話が今の社内で出てた。
    共用ファイルサーバー(CIIFS)で、組織変更に合わせて権限を調整されたらアクセスできない人がボロボロ出てきて。
    管理者を探すと、既に退職した人が管理者に設定されたままになってて結局大本の管理部門に頼んで旧い管理者を消して今いる人につけ直してもらってた。

    人事勤労が退職者とか把握してるけど、彼らは社内IT管理やらファイルサーバー管理しているところにその情報を降ろすようにはなってないし。
    セキュリティ対策やコンプライアンスなんとかチームは居るけど、彼らも上下からのエスカレーションには対応してるけど、横方向での情報共有はしないみたいだし。
    結局、人が居なくなってもアカウントやパスワード設定は生きてるらしい。
    アクセス経路さえあれば入れちゃうはず。

    ここに返信
    • Re:1/3 (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2019年07月03日 17時13分 (#3645124)

      退職ではないが、某カメラメーカーに派遣契約で入って、無事契約終了。
      で、業務用のサーバーその他にアクセスするのにアカウントを作るのだが。

      数年後、別案件でそのメーカーに派遣されて、アカウントを作ろうとしたら
      何故か登録エラーとなり、客先が原因を調べたところ数年前の派遣契約で作ったアカウントが生きていて・・・・。
      二重登録でエラーになったとの事、試しに昔のパスワード使ってみたら、
      なんとまぁ。そのままログインできて数年分のメールやらグループウェアのメッセージやらの洪水に見舞われた。
      ・・・・その中に、「XXX日間アカウントのパスワードを変更してないから早急に変更しろ!!」って警告メールが山の様に・・・・。

      #後日判ったことだけど一度作ったアカウントは削除できないそうな(ほんとか?)

      • by nemui4 (20313) on 2019年07月04日 5時28分 (#3645562) 日記

        >#後日判ったことだけど一度作ったアカウントは削除できないそうな(ほんとか?)

        それはできない仕様にしているというか、メンテしない運用にしているだけですね。
        その会社穴だらけなのかもしれない。

      • by nim (10479) on 2019年07月04日 9時48分 (#3645668)

        > #後日判ったことだけど一度作ったアカウントは削除できないそうな(ほんとか?)

        本当に削除してしまうと、履歴レコードにのこった利用者IDが行方不明になってしまうので、無効化(ログイン不可)で対応する、というのは普通にあります。

        GDPRとか考えると、個人情報保護を真面目にやるなら、個人情報部分については物理的に削除できる仕組みにしないとだめでしょうが。

        • by Anonymous Coward

          つまり、契約が切れたら対象を抹殺するということですね

          • by Anonymous Coward

            それでも、故人情報はやっぱり真面目に保護しないといかんと思うよ。

  • by Anonymous Coward on 2019年07月03日 13時46分 (#3644990)

    人事部門と情報処理部門の連携が思ったほどとれていない組織が多いという事なのでしょうか。
    異動があってもPCの登録が移動前のままだったり、既に解散した過去の部署名がシステムに登録
    されたまま放置されているというのも見かけます。
    アクセスIDの削除にも人事情報が必要ですが、お互いセキュリティを気にしすぎて自分の情報を他部署に
    渡す習慣がないのかもしれませんね。

    ここに返信
    • by Anonymous Coward on 2019年07月03日 13時59分 (#3644996)

      >お互いセキュリティを気にしすぎて
      トリガーは人事側にしかないですよね。こっちは知りようがない。
      辞めた人がいたら連絡しろと言ってるのにイマイチ徹底してくれません。
      年一で各部署に直接ユーザ一覧を回して棚卸しするようにはしてますが。

    • by Anonymous Coward on 2019年07月04日 10時10分 (#3645685)

      情シスの業務負担を軽くするためにクラウドサービスに移行する会社が増えてると思うけど、退職した従業員も使ってたアカウントそのまま使えちゃったりするところも多いんだろうな。

      人事がやるべき業務をシステム部に押し付けたりするから発生する問題だけど。

    • by Anonymous Coward

      企業が上下構造だと、せっかく無いはずのIDに気づいても、情報処理部門に情報いきにくいのもあるかもしれません。

      そのIDでないと使えない権限があるんだろうなぁ、と思いつつ、それとも削除忘れただけか、部下は聞けないという。
      聞くべきかなぁ.....

    • by Anonymous Coward

      いなくなる人の話もそうだけど、新しく入ってくる人の
      PCの準備なんかも同じですね。いきなり「明日の朝までに
      PC2台準備しといてね」とか前日の夕方ぐらいに連絡なんて
      日常茶飯事。ひどい時は当日になって「なんでPC用意出来て
      ないんだ」と大声を出せばまわりが動くと思ってるクソ部長とか。

      社内の情報機器は部課長の決済権限外で値段に関係なく社長承認が
      判子を押した状態で出ないと発注すら出来ないというのに…

    • by Anonymous Coward

      ただ異動になっても、元の部署の権限が使えると何かと便利なんだよね。
      営業に行ってからも開発部のチケットシステムが閲覧できたり、ベータ製品が使えたりすると、セールス上すごく有利。

      本来ならば、2つの部署をブリッジするような専任者を置くべきなのだけど、
      どちらの部にもそんな余裕はなかったりという。

  • by coffeejunkie (48826) on 2019年07月03日 14時51分 (#3645028) 日記
    削除申請が回ってこないと処理できないから
    退職日の翌日に無効にするぐらい。利用部門は自分の仕事じゃない感で
    いつも放置プレイ気味

    #他所もそんなもんですかね
    ここに返信
    • by Anonymous Coward
      私が転職した時(今年の1月)には退職時から3ヶ月経ったらメールアカウントを削除するとの説明がありましたが、いまだに削除されていません。担当者がサボっているのかな。
      #先日古い顧客からメールが来たので当時の上司に転送した。削除されていたら行方不明メールになるところだった。
    • by Anonymous Coward

      IDの使いまわしはしないけど、ユーザID消してしまうと、宙ぶらりんになるファイルやらなんやらが出てきてしまうので、ログインできないようにするだけだな。

  • by Anonymous Coward on 2019年07月03日 15時47分 (#3645075)

    権限を残してもらっている、ってケースは結構あります。

    新規のお客さんのところに行って、サーバの設定とか見せて?って聞くとよその会社の人の名刺渡されて「前に務めてたこの人に連絡して」って言われることがあります。
    さすがに辞めた人ってのは少ないけど、部署移動で引継ぎできずに異動した後もその部署のメンテナンスしてる人は結構見ます。

    自分の場合も、退職日をずらしたくなかったので内緒でリモートアクセスと権限をしばらく残してもらったというのはあります。

    ここに返信
  • by Anonymous Coward on 2019年07月03日 16時16分 (#3645092)

    こういったのはActiveDirectoryで一元管理してると楽
    ただしMSへの上納金やシステム費用ちゃんと用意できる会社限定
    MSと心中する覚悟でやらないといけない

    ここに返信
    • by Anonymous Coward

      自社LAN内のシステムのアカウントならそうでしょうけどね。
      この手の退職後も使えるって、外部サービスもあると思うけど、
      例えばGoogleアカウント(gmailとか)ってLAN内のADと連携できるの?

      • by Anonymous Coward

        ウチは連動してる

      • by Anonymous Coward

        > 例えばGoogleアカウント(gmailとか)ってLAN内のADと連携できるの?

        ActiveDirectory っていわゆる LDAPのまっとうな実装+オマケなので、世の中ADと連携できない物のほうが少ないんじゃないかな。
        ADが出てきたころだと「実装してみました」レベルではない、運用に耐えられる唯一のLDAP実装だった気がする。

  • by Anonymous Coward on 2019年07月03日 17時39分 (#3645161)

    うちはこないだ自分のメアド宛に、同じイニシャルの今は居ない部長さん宛の営業メールが届いたわ。
    昔辞めた人のメアドを再発行してしまったんだと思うんだが、こういうのも情報漏洩になりそうで危険だなと思った。

    なお、不思議なことに、古参の上司陣に聞いても、うちの会社にそんな部署も部長も過去存在したことがないらしい。誰だよ。

    ここに返信
    • by Anonymous Coward
      未来の君が過去に戻って地ならししておいたんだよ!
      偽名なのにイニシャルが同じなのは君自身に気付いてほしかったからだ。
typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

読み込み中...