コラム

ヒヤリハット体験から学ぶ、アカウント管理と認証の基本

「ちょっと悪いんだけど、この入力作業、代わりにやってもらえないかな？」
営業部のYさん（仮名）は、外出直前でバタバタしていました。急ぎのアポイントが迫っているなか、社内システムへの入力作業が残ってしまっていたのです。
同じチームの同僚が「やっておくよ」と申し出てくれたので、Yさんはありがたくお願いし、自分のPCをそのまま渡しました。
画面はログイン状態で、業務システムも起動済み。あとはデータを入れるだけの状態でした。
「信用できる仲間だし、少しの作業ぐらい問題ないだろう」Yさんはそう考えて、そのままオフィスを後にしました。

翌日、呼び出された理由は「誤入力の責任」

翌朝、Yさんは部長に呼び出されます。
「昨日、君が入力したデータで、顧客コードにミスがあったんだけど」
システムの操作ログを見ると、確かにYさんのアカウントで入力された履歴が残っています。
しかし、実際に作業したのは同僚です。
「すみません、あの作業、実は僕が外出する直前に〇〇さんにお願いして…」
Yさんは正直に事情を説明しましたが、部長の表情は曇ったままでした。
「そういうことをされると、誰がやったか分からなくなるよね。責任の所在が曖昧になる」

Yさんはそのとき初めて、“アカウントを他人に使わせる”ことの重みと、たとえ自分が操作していなくても責任が残るという構造に気づかされました。
このようなヒヤリとする実例から、「なぜアカウントの貸し借りが危険なのか」「どうすれば防げるのか」について、以下で詳しく解説していきます。

アカウントの「貸し借り」がなぜダメなのか？

このような事例、実は少なくありません。
オフィスではつい「ちょっと貸して」となりがちですが、業務システムにログインした状態のPCを他人に触らせる＝これは、アカウントを貸与したのと同じ行為です。
その結果、以下のようなリスクが発生します。

• 入力ミスや改ざんがあっても誰が操作したのかを証明できない
• 退職や異動後も、元社員のアカウントが残っていることがある
• セキュリティ事故発生時の調査が困難になり、会社の信頼低下につながる

「ちょっとだけ」の気軽さが、信用問題・責任問題に直結するのです。

“共有パソコン”も落とし穴に

また、中小企業では「部署で共用のPCを使っている」ケースも多く見られます。
その場合でも、ログインアカウントを個別に管理していないと、“誰が・いつ・何をしたか”が完全にあいまいになります。
たとえば、こういった例があります。

• 「共用PCで請求データを消されたが、誰の操作か分からない」
• 「USBを挿して社外にデータを持ち出した人がいたが、ログが残っていない」

このような状態では、何が起きても責任の所在を明確にできず、対応や再発防止が非常に困難になります。

解決策：ログインは“個人単位”＋“二要素認証”で本人確認を

これらの問題に対して効果的なのが、個別アカウント管理と二要素認証の導入です。

個別アカウントにすることで

• 作業の履歴が「誰が」「いつ」「何をしたか」明確に残る
• アカウントを退職・異動と連動して管理できる
• “貸し借り”のリスクを防ぎ、責任範囲が明確に

二要素認証を加えることで

• パスワードだけではログインできず、なりすましを防げる
• たとえ端末が盗まれても、スマートフォンなどで本人確認が必要
• リモートワークや在宅勤務時のセキュリティレベルが格段に向上

二要素認証ログインのYubi Plus

Yubi Plusは、Windowsパソコンで、安心・安全な二要素認証ログインを可能にします。

もしこれがあなたの現場だったら…？

• PCを離れる時、作業画面がそのままになっていませんか？
• 同僚に頼まれて、自分のPCを貸したことは？
• 共有PCで、ログインせずに使っていませんか？
• 退職者のID、ずっと残ったままになっていませんか？

アカウント管理と認証は、トラブルが起きてから見直すのでは遅すぎることがほとんどです。
「自分を守る」「チームを守る」「会社の信用を守る」ための、最初の一歩として、“誰が使っているかが分かる仕組み”を整えることから始めてみてはいかがでしょうか？

いますぐできるチェックリスト