顧客から招待されるがままSaaSアカウントを作ると抜け道になる

オンラインストレージX社との打ち合わせ

「貴社のメールアドレスリストを後ほど送ります」

A社では、法人契約しているオンラインストレージがあります。原則として、顧客とのファイル連携は、そこで行うルールです。

ところが、別のオンラインストレージで連携するケースが増えています。

顧客が指定するX社のオンラインストレージです。

本来は自社のストレージを使うべきですが、顧客との力関係で先方の環境を使わざるを得ないケースがあるとのこと。

X社のオンラインストレージは、無料でアカウントを作成できます。顧客から招待されれば、自社のメールアドレスとパスワードを登録することで、すぐに利用可能となります。

その利便性の高さから、顧客に言われるがままアカウントを作成するユーザーが後を絶たないのです。しかし、これは社内標準に反する運用であり、情シスとして見過ごすわけにはいきません。

そこで、X社に連絡して、打ち合わせすることにしました。

X社の営業が言うには、A社のメールアドレスで作られた全アカウントを調べることができるそうです。そのため、A社リストを提示してもらうことにしました。

後日、X社から送られてきたリストを見て、目を疑います。

なんと、200名以上が使っていたのです。

想像をはるかに超える件数に、情シスメンバーは唖然とします。

この状況下では、どのようなリスクがあるのでしょうか？

顧客指定環境のリスク

A社の情シスは、セキュリティに力を入れています。導入するシステムやSaaSには、次の「非機能要件」を満たしている必要があります。
・二段階認証
・IPアドレス制限
・操作ログ取得
・ユーザー管理
・システム管理者機能

ところが、顧客から招待された無料アカウントには、これらの機能はありません。

そのため、IDとパスワードさえわかれば、なりすましで誰でもログインできてしまいます。操作ログが見れないので、何をされてもわかりません。

例えば、悪意をもった社員が、プライベートPCでログインして、そこにあるすべてのファイルを抜き取ることも可能なのです。

どんなにA社が厳格なセキュリティを構築しても、あっさりと「抜け道」ができてしまうことになります。

現場ユーザーには「顧客指定」という大義名分があるので、思考停止してしまうのでしょう。しかし、情報漏洩リスクを垂れ流しにする行為なのです。

情シスとして、どう対処したら良いのでしょうか？

無料アカウントから有料アカウントへの切り替え

A社情シスは、X社のオンラインストレージについても「法人契約」を視野にいれました。

法人契約することで、二段階認証、IPアドレス制限、操作ログ取得などの「有料オプション」が利用可能となるからです。さらに、今後はA社の管理者が許可しないと、A社のメールアドレスでアカウントは作れなくなります。

法人契約することで、A社情シスのコントロール配下におけるのです。

ただし、現在の200名以上の無料アカウントをそのまま有料アカウントに移行するわけにはいきません。

無駄に費用がかかるという側面があります。

しかし、それ以上に問題なのは、X社のストレージは「社内標準」ではないということ。従来のストレージは、全部署・全ユーザーに対して細かい権限設定やログ監視、システム管理、セキュリティ機能等を設定しています。こちらが「社内標準」なのです。安易にX社の利用者を増やして「ダブルスタンダード」にしたくはないのです。

そのため、必要最低限のアカウントのみに絞り込みます。

A社リストには「最終ログイン日時」がありました。ここにフィルタをかけて、直近1年以内にログインしている100名をリストアップします。

この100名に対して「顧客名・用途・今後の利用予定」を確認しました。今後も「明確に必要」と判断できた人だけを残し、それ以外は削除します。

その結果、40名に有料アカウントを発行することになりました。

無料アカウントの罠

「アカウントの切り替え作業は、本来有料ですが、初期移行だけは無料で対応します」

X社の営業が笑顔で説明しています。

少しイラッとしました（苦笑）。

ナルホド、うまいサービスですね。無料でアカウントを作らせて、法人契約に誘導するとは、巧妙なビジネスモデルだと思います。

だけれども、情シスとしては、無料アカウントが横行することでセキュリティと内部統制が壊れるから、迷惑な話です。

このような無料アカウントのリスクは、他のSaaSでも当てはまります。今後も目を光らせておかないと、危ないでしょう。

貴社のIT部門、情報システム部門は、顧客から指定された「無料アカウント」について、リスクコントロールできていますか？