アカウント共有によって起こる運用上の問題

アカウント共有は以下のようなリスクが考えられます。

1. 利用規約に反する可能性が高い
2. ライセンス規約に基づく監査の対象となり得る
3. 法律違反になる可能性もある
4. 情報漏えいが起これば業務停止せざるを得ない

アカウント共有によりどのような問題が発生するのか、詳しく見ていきましょう。

（１）利用規約に反する可能性が高い

アカウント共有は、ほとんどのサービスで利用規約に反している可能性が高いのが現状です。

サービス提供会社が利用規約違反と認めた場合は、対象のアカウントの凍結や利用停止、一方的な削除などの対象になります。

また、サービス提供会社から損害賠償請求されたり会社の社会的信用を失ったりと、アカウント共有のリスクは高く、会社経営にも影響を及ぼす可能性もあるのです。

大手動画配信サービス企業であるNetflixでは、2023年初頭よりアカウント共有の取り締まりを強化すると発表しています。

この動きは、他のサービス提供会社でも広がるのではないでしょうか。

（２）ライセンス規約に基づく監査の対象となり得る

アカウントを共有しているとライセンス規約に基づく監査の対象となり、莫大な違約金を支払う可能性もあります。

2009年には、ソフトを違法に約4,700本分コピーして使い回したことにより、サービス提供会社に1億4,000万円を支払った事例もあります。

ソフトを正規使用していれば、1アカウントのライセンス使用料を1万円と見ても4,700万円の支払いで済むところを、約3倍の金額を支払うことになってしまったのです。

さらに、不正使用が話題になったことにより、社会からの信頼を失うことにもなりました。

どのようなときに監査の対象になるのかは、ライセンス規約にうたわれていることが多いので、契約時やライセンスを使用しているときに把握しておきましょう。

（３）法律違反になる可能性もある

共有アカウントは著作権法違反になる可能性もあります。

なぜなら、ライセンス契約で使用しているツールや著作物の著作権はサービス会社などのサービスを提供しているものにあるからです。

ツールや著作物を利用する側は、使用料を支払うことで、提供する側が「使用料を支払った人には使用を許諾」しています。

しかし、共有アカウントは本来使用人数分の料金を支払わなければならないところを、1人分の使用料で複数の人が利用していることになり、ライセンス契約違反になるのです。

また、提供者側は著作権を手放していないので、「勝手にサービス（著作物）を使われた」と言うことで訴えられる可能性もあります。

料金を支払っていても、著作権は相手側にあることを忘れないようにしましょう。

（４）情報漏えいが起これば業務停止せざるを得ない

共有アカウントはセキュリティが脆弱になり、情報漏えいのリスクが高まります。

情報漏えいが発生した場合は業務停止せざるを得なくなり、経営に多大なダメージを与えます。

また、退職者が共有アカウントを利用してシステムにアクセスできるままになっている場合には、機密事項を違法ダウンロードされる危険性もあります。

アカウントは、企業の大切な「情報資産」です。情報資産を守るためにも、アカウントは1人1アカウントずつ所有するようにしましょう。

アカウント共有によるセキュリティ上の問題

アカウント共有がなぜセキュリティ上に問題があるのか説明します。

考えられる事例は主に4つあります。

1. アカウント情報が外部に漏えいする危険性が高まる
2. 内部不正の犯人を特定しづらい
3. 退職者や休職者がログインできてしまう可能性がある
4. セキュリティ強化が難しくなる

アカウント共有は自ら大切な情報を危険に晒すことになるため、共有している場合は、個別アカウントの利用を検討した方が良いでしょう。

（１）アカウント情報が外部に漏えいする危険性が高まる

共有アカウントはIDとパスワードの管理が煩雑化するため、アカウント情報が外部に漏えいする危険性が高まります。

IDとパスワードの管理の煩雑化で考えられることは以下のとおりです。

• IDおよびパスワードを記載したメモを紛失する
• スマホなどにIDやパスワードを管理して、誰かにのぞき見される

それぞれ個別にアカウントを取得し管理していれば、もしこのような事態が発生しても該当するアカウントを停止すれば被害拡大は防げます。

しかし共有アカウントの場合は、アカウントを停止すると業務そのものがストップしてしまう可能性があり、すぐに停止ができません。

その間に次々と情報が漏れ、被害は深刻なものになるでしょう。最悪の事態を最小限に食い止めるためにも、アカウントの個別管理は重要です。

（２）内部不正の犯人を特定しづらい

共有アカウントは、「誰が操作しているのか」を特定しづらい特徴があります。

そのため、共有アカウントを使用して機密事項を不正ダウンロードされた場合でも、犯人が誰なのか特定できません。

不正があった事実はわかっても責任追及ができない状況に陥ってしまうのです。

共有アカウントは皆で1つのアカウントを使用しているということから、不正を働きやすい心境を生み出すことになります。

心理的な甘えを生み出さないようにするためにも、アカウントは1人ひとりがそれぞれ所有し、責任感を持って業務に取り組むのがよいでしょう。

（３）退職者や休職者がログインできてしまう可能性がある

退職者や休職者が共有アカウントのIDやパスワードを所有していた場合、業務に関わっていなくてもログインできる可能性が出てきます。

退職者による不正ログインが原因で情報流出した、と言う事件はたびたび報道されているため、記憶に残っている方もいるのではないでしょうか。

個別のアカウントでログインしているのであれば、退職者や休職者のID・アカウントを使用できないようにすることで不正ログインを防止できます。

しかし、共有アカウントで運用していた場合は、IDやパスワードをすぐに停止することはできません。

退職者や休職者からアクセスされないようにするためにわざわざパスワードを変更しなければならず、都度パスワードを覚え直さなければならない手間が生じます。

パスワードを何度も変更しその度に覚え直すことは、パスワードがパターン化し、悪意のある第三者からの標的になる可能性があります。

共有アカウントで運用することは、このようなデメリットがあることを理解しておきましょう。

（４）セキュリティ強化が難しくなる

共有アカウントはIDやパスワードのセキュリティを強化できる多要素認証やログ管理などの導入が難しくなります。

アカウントを個別で管理していれば多要素認証でセキュリティの強化ができますが、共有アカウントでは特定の個人のみが対象となる認証方法は利用できません。

また、ログ管理を行った場合でも、共有されたアカウントでログイン履歴が残っていても「誰が」ログインしたのか判断できないため、ログがあまり意味のないものになります。

そのため、共有アカウントのIDやパスワードに関するセキュリティ強度が下がってしまうのです。

IT技術が発達した今、IDやパスワードは常に悪意のある第三者に狙われています。

セキュリティ強化のためにも、アカウントは個別で管理することをおすすめします。

アカウント情報を守るためのセキュリティ対策

アカウント情報を守るための対策を3つご紹介します。

1. 安全なパスワードを設定する
2. IT資産を管理する
3. SSO＋多要素認証を取り入れる

アカウント情報は、解読や流出のリスクがあることを常に意識して対策する必要があります。

取り入れやすいものから対策していくようにしましょう。

（１）安全なパスワードを設定する

アカウント情報を守るために、まずは安全なパスワードを設定するようにしましょう。

総務省の「国民のためのサイバーセキュリティサイト」によると、安全なパスワードは『他人に推測されにくく、ツールなどの機械的な処理で割り出しにくいもの』を指します。

安全なパスワードは、以下のように設定・管理しましょう。

• 適度な長さ（10桁〜12桁）・推測されにくい・自分が覚えやすいパスワードに設定する
• 他の人がわからない・自分が忘れない保管方法でパスワードを保管する（パスワード管理ツールを使用すると便利）
• パスワードを複数サイトで使い回さない

（２）IT資産を管理する

IT資産とは、パソコンやスマホなどの端末や、日頃から使用しているアプリケーションや使用するためのライセンス、PDFファイルなど、ITに関するモノや情報のことを言います。

現在、どれだけのIT資産を所有・運用しているか把握することは、セキュリティ対策の上で重要です。

事前にIT資産がどれだけあるのか把握しておけば、紛失等があったときでもすぐに対策が取れます。

IT資産管理は、利用目的や管理対象を明確にし台帳を作成するのが一般的ですが、量が多くなると管理が煩わしくなります。

大量のIT資産を管理する場合には、IT資産管理ツールを使用すると良いでしょう。

IT資産管理ツールはさまざまな種類があるので、比較して自社にあったものを導入するようにしましょう。

（３）SSO＋多要素認証を取り入れる

アカウント情報のセキュリティ対策には、SSO＋多要素認証も有効です。

SSOとは、1度のアクセスでそのサービスに紐付いた、他のサービスも利用できるようになるシステムのことを言います。

それぞれのサイトに何度もログイン情報を入力しなくて良いので利便性が高いのがメリットです。

しかし、高いアクセス権を持つため、アクセス権パスワードが流出した場合複数のサイトが被害に遭ってしまいます。

そこで、SSOに生体認証やSMS認証などの多要素認証を取り入れることで、セキュリティの強化が図れるのです。

SSO＋多要素認証は、1度設定すればすぐに利用できるようになるので、セキュリティ強化のためにも取り入れることをおすすめします。

複数人で共有する前提のアカウントもある

アカウント共有には多数の問題がありますが、中には複数人数で共有する前提のアカウントもあります。

1. 特権ID
2. 外部システムとの連携アカウント
3. 貸与ID

どのようなものか詳しく見ていきましょう。

（１）特権ID

特権IDとは、OSやデータベース上でシステムの停止や再起動、データの更新などができる、強い特権を持ったIDのことを指します。

身近なところでは、WindowsのAdministratorやMacのrootが特権IDに該当します。

特権IDの主な目的は、システムが思わぬインシデントに遭った際の復旧や保守、システムの変更をもたらすアプリのインストールなどです。

そのため、システムに複数の管理者がいる場合は、複数人数で特権IDを使い回すことがあります。

特権IDはシステムの中で最高位と言っていいほどに高い権限を持っているため、管理の不備があると簡単に不正利用される可能性があります。管理には十分に注意しましょう。

（２）外部システムとの連携用アカウント

複数人数が利用する想定のアカウントの1つに、外部システムを利用するために連携するアカウントがあります。

システム連携とは、それぞれのシステム間でデータを利用できるようにすることです。

システムを連携するとSSO（1度のログインで複数のサービスが利用できるようになること）が利用できたり、データを管理できたりとさまざまなメリットがあります。

外部システムとの連携用アカウントは一般のアカウントとは異なる性質を持ち、利用者は連携先のシステムやバッチになります。

（３）貸与ID

貸与IDとは、利用規約によってアカウントの共有が一時的に許されているIDのことを指します。

例えば、業務委託先に特定の業務を行ってもらう時に業務先に伝える、一次利用が目的のIDとパスワードが貸与IDです。

貸与IDを利用するときには、どこまでに業務に貸与IDを利用するか、貸与IDに関する責任を明確にする必要があります。

まとめ

アカウント共有はさまざまなことが問題視されています。

• 利用規約に反する可能性が高い
• 法律違反や社会的信用を失うことがある
• アカウント管理の煩雑化、アカウント上楼の漏えいリスクが高まる

アカウントを共有していると、複数人数が1つのアカウントを使用しているため、情報漏えいなどが起きたときに犯人を特定しにくい特徴があります。

また、アカウント共有はアカウント情報を守るために有効な多要素認証の利用が難しくなります。

IDやパスワードなどのアカウント情報は、常に悪意のある第三者に狙われていると言って過言ではないでしょう。

アカウント情報を守るために有効な手段はいくつかありますが、アカウントを共有していると、多要素認証などのセキュリティ対策が利用しづらくなります。

そのため、自らアカウント情報のセキュリティを脆弱にしてしまうのです。

今すぐアカウント管理を変更することは難しいかもしれませんが、アカウント共有はリスクが大きいため、順次個別アカウントの利用に変更していくようにしましょう。