退職者のアカウント、数日間生きたままで大丈夫ですか
退職者のアカウント回収が遅れたときに生じる実際のリスクと、SCIMプロビジョニングでオン・オフボーディングを自動化し、この問題を構造的になくす方法を整理しました。
社員が退職した翌日、その人のアカウントでまだ社内アプリにログインできるとしたら、どうでしょうか。多くの企業でこれは仮定ではなく現実です。人事システムでは退職処理が終わっているのに、実際のアプリのアカウントは数日、長ければ数週間も生きたままということは珍しくありません。
アカウント回収の遅延が生むリスク
オフボーディングが遅れると、二つの問題が同時に生じます。
一つはセキュリティリスクです。退職者が依然としてCRM、コードリポジトリ、ドキュメントツールにアクセスできるということは、データ漏洩の経路が開いたままであることを意味します。悪意がなくても、管理されていないアクティブなアカウントは、それ自体が攻撃対象です。もう一つはコンプライアンスリスクです。ISMS-Pをはじめ、ほとんどのセキュリティ審査は「不要なアカウントが適時に回収されたか」を確認します。回収遅延の記録が残っていれば、そのまま指摘事項になります。
問題の根は、多くの場合プロセスではなく手作業です。担当者が複数のアプリの管理画面を一つずつ開いてアカウントを無効化する方式は、アプリが十個もあれば漏れが生じます。よく使うアプリは対応しても、四半期に一度しか使わないアプリは忘れられます。
SCIMが解決する仕組み
SCIM(System for Cross-domain Identity Management)は、アカウント情報をシステム間で標準的な方式でやり取りするための規約です。簡単に言えば、ユーザーの作成・変更・無効化を一つのソースから複数のアプリへ自動で伝播させる標準です。
SCIMを導入すると、流れはこう変わります。新入社員が入ると中央でアカウントを一度作り、連携したアプリに自動でアカウントが作られます。職務が変われば所属グループを調整するだけでよく、退職処理をすれば連携したすべてのアプリでアカウントがまとめて無効化されます。担当者がアプリごとに入って手で止める工程がなくなります。
導入時に確認すること
SCIM導入を検討するなら、次をまず点検してください。
- 自社が使うアプリのうち、どれがSCIMプロビジョニングに対応しているか
- アカウントの「信頼できる情報源(source of truth)」をどこに置くか — 通常はIdPがその役割を担います
- グループ・ロールの構造をどう設計するか — この設計がそのままアクセス権限ポリシーになります
- プロビジョニングのイベントが監査ログに残るか — 審査対策に必要です
SCIMに対応していないアプリは別のアカウント管理方式が必要になるため、導入初期にアプリ一覧を対応/非対応で分けておくと、その後の計画が明確になります。
AxiPassはこう支えます
AxiPassはSCIM 2.0 APIを受信サーバーとして提供します。会社が使う人事システムや上位のディレクトリからAxiPassへ、アカウントの作成・変更・無効化を自動で反映できるため、アカウントの源泉を一か所に置き、AxiPassのメンバーをその源泉と同期した状態に保てます。アプリのアクセス遮断は、ここからIdP中央化の効果としてつながります。AxiPassのアカウントを無効化すればOIDC・SAMLで連携したすべてのアプリのログインが遮断され、退職処理の際にはダウンストリーム(OIDCトークン・SAML・SWA・ブラウザ拡張)のセッション終了まで伝播されます。プロビジョニングを含む主要なイベントは監査ログに自動で残り、審査資料として活用できます。SCIM認証に使うトークンは一方向ハッシュで保管し、発行後は原文を保存しません。
オフボーディングの自動化をご自身で試したい方は無料で始めるから始められます。社内アプリの構成に合ったプロビジョニング設計が必要な方は導入相談からお問い合わせください。
