これは【BONXのセキュリティ】シリーズの第3回「BONXの共用アカウント」に関する記事です。他の記事をまだ読んでいない場合は、以下のリンクよりご覧ください。

【BONXのセキュリティ】情報セキュリティマネジメントシステム（ISMS）のご紹介
【BONXのセキュリティ】「CIA Triad」への取り組み

当社のサービスを利用する上で、個々で独自のアカウントを持つことが難しい場合があります。この問題を解決するために、BONXでは「共用アカウント」という機能を提供しています。
この記事では共用アカウントについて説明し、共用アカウントが必要になる例、共用アカウントを使用するメリットとデメリット、デメリットを軽減するためのセキュリティのベストプラクティスについて説明します。

共用アカウントの定義と必要となる例

はじめに共用アカウントの定義を理解しておきましょう。共用アカウントは1人以上の人によって共用で利用されるアカウントです。具体的に必要になる例を考えてみましょう。

高級ホテルでは日常業務に加えてケータリングサービスの追加が必要なイベントを定期的に開催しています。開催日は専任のホテルスタッフだけでは対応しきれません。

そのため、ホテルは外部のケータリング会社に余分な作業を委託し、その会社が従業員をホテルに派遣して準備や運営を手伝っています。このケータリング会社のスタッフは主にパートタイムまたは短期契約社員で構成されています。
イベントに関連する重要な会話から誰も取り残されないように、すべてのスタッフが同じコミュニケーションチャネルで会話する必要があります。

ホテルの観点から見ると、BONXプラットフォームとホテルのITシステムの両方に外注業者のアカウントを作成し、管理するのは負担が大きすぎます。
可能であればホテルはこれらのアカウントの管理に費やす時間を削減し、下請け業者の勤務開始時にBONXヘッドセットを引き渡すだけで済むようにしたいと考えています。

メリット

上記の例は、共用アカウントの必要性を示す良い例です。共用アカウントを使用すると、これらの下請け業者のオンボーディング時間が大幅に短縮されます。
アプリが適切にインストールされ、ヘッドセットがデバイスとペアリングされている限り、すぐに音声チャネルとテキストチャネルの使用を開始できます。そして勤務終了後、下請け業者はヘッドセットを返却し、アプリを削除できます。

共用アカウントは「バックアップ」アカウントとしても役立ちます。従業員がデバイスを自宅に忘れた場合、または自分のアカウントにアクセスできなくなった場合、共用アカウントの1つを利用できます。バックアップのための共用アカウントの作成は、BONXがなくてはならない現場において特に役立ちます。

また、潜在的なコスト削減も期待できます。アウトソーシングの最大人数がわかっている場合は、共用アカウント用に追加の固定ユーザー数を確保できます。従業員や下請け業者は特別な認証や手続き不要でアカウントをすぐに使い始められます。

デメリット

メリットについて詳しく説明してきましたが、共用アカウントを使用する場合には考慮すべき点があります。多くのセキュリティ専門家やIT部門は、ユーザーのアクティビティを適切に追跡できなくなるという単純な理由から共用アカウントを好みません。

個別アカウントを使用するとユーザーが問題を抱えている、または問題を引き起こしている場合、どのユーザーが影響を受けているかを簡単に判断できます。
また、ペアリングしたデバイスが紛失した場合も管理コンソールからそのユーザーのアカウントへのアクセスを無効にし、他のユーザーがチャットやルームにアクセスできないようにすることができます。

しかし、共用ユーザーの場合、誰がアカウントを使用しているかわからないという問題が発生します。
アカウントを与える人は、必ずしもそのアカウントを使用している人であるとは限りません。誰かがヘッドセットとそれに接続されているデバイスを盗んだ場合、アクセスが許可されているすべてのアクティビティを聞いたり見たりする恐れがあります。
また、ヘッドセットで誤った情報を流したり、職場環境に不適切なことを言ったりして、意図的に業務を妨害し、従業員の注意をそらされる可能性もあります。

VIPが参加するイベントや特別な発表があるイベントでこの種の事件が生じた場合、簡単に台無しになる恐れがあるのです。管理者が警告を受け、管理コンソールからアカウントを無効にしようとしても、すでに手遅れということが考えられます。

推奨される対策

前のセクションを読んで共用アカウントの使用の背後にある潜在的なセキュリティ問題について心配になった場合は、セキュリティインシデントの影響と可能性の両方を軽減できる潜在的な対策があることを知っておく必要があります。最も効果的な対策は次の4つです。

会社のITポリシーを確認し従う

BONXの共用アカウントが自分に適しているかどうかを判断する前に、まず会社のIT部門またはセキュリティ部門に許容される使用ルールについて確認する必要があります。共用アカウントの作成または有効化を実行する前に、必要な承認がすべて得られていることを確認してください。

特定の下請け業者と頻繁に関わりがある場合は、その下請け業者にも個別のアカウントを提供する価値があるかもしれません。会社の人事部門であれば必要な人材を見極められて、アカウントを作成する必要があるかどうか判断できるかもしれません。

範囲と利用条件を事前に定義する

共用アカウントの発行を開始する前に、共用アカウントの使用目的を決めておくことを強くおすすめします。
どのタイプの従業員が共用アカウントを使用できるか、どのような目的で使用できるか、アクセスできるチャットやルーム、日時、会社のサポートが受けられない特定の状況でどのように立ち回るかといったルールを設定する必要があります。

そして、これらのルールがすべての下請け業者に適切に伝達されていることを確認し、すべての下請け業者が社内およびその他のIT資産の利用条件に基づく必要があります。

専用デバイスの導入を検討する

BONXでは特定のデバイスにアカウントをロックし、他のデバイスからの不正ログインを防ぐ「デバイス認証」という機能を提供しています。
この機能は会社のIT部門またはセキュリティ部門から導入を求められることがあります。しかし、あなたが雇う下請業者の一部またはすべてが会社支給のデバイスを支給していないか、会社のモバイルデバイス管理システムに登録されていない可能性があります。

この問題を解決する最善の方法は、勤務時間中に下請け業者に専用のデバイスを貸し出すことです。これにより、個々のデバイスの管理に関する不安要素が減り、どの下請け業者がどのデバイスをいつ使用しているかを適切に追跡できれば、前述したユーザーアクティビティの監視問題の影響をある程度軽減できる可能性があります。

使用後に共用アカウントのパスワードをリセット

シフト終了後に下請け業者による共用アカウントの不正使用のリスクを軽減するには、次の下請け業者にアクセスを許可する前にアカウントのパスワードを変更することをおすすめします。BONXではこれを可能とする有料サービスを提供しています。

結論

この記事では、共用アカウントの概念とその背景にあるさまざまなメリットとデメリット、および組織内での最も効果的な活用方法について紹介しました。

すべての企業や組織が同じITポリシーやセキュリティポリシーを持っているわけではありませんが、BONXではお客様のニーズにできるだけ適合する製品とサービスを安全な方法で提供できるよう努めています。
もちろん、共用アカウントを利用せずに当社のサービスにサインアップすることもできますが、この案に興味がある場合は当社の営業チームに製品デモンストレーションをお問い合わせください。