「あの人、先月退職したんですけど、アカウントってまだ残ってますよね?」
こんな確認、誰かからされたことはありますか?
もしくは、「もうとっくに削除したと思っていたけど、実はまだ残っていた」ということはありませんか?
こんにちは、こんばんは。TechAtlas(てっくあとらす)です。
今回は、東北学院大学が不正アクセスを受けたことを踏まえ、卒業・退職後のアカウント「猶予期間」を廃止した、というニュースから考えていきます。
大学の話ですが、内容は中小企業の日常にそのまま当てはまります。
参考記事
※以下は上記記事を読んだ上での個人的な考察です。
記事の概要
東北学院大学は2026年3月3日、卒業・退職後も一定期間アカウントを使い続けられる「猶予期間」を廃止すると発表しました。
これまでの運用
卒業や退職のあと、以下のサービスについては180日間アカウントを継続利用できていました。
- Google Workspace for Education
- DEEPMail(学内メール)
「卒業後もしばらくは学校のメールが使えると便利」という配慮からの運用だったようです。
なぜ廃止したのか
2023年以降、大学の統合認証アカウントへの不正アクセスが複数発生しました。
調査の結果、判明したのが「猶予期間中のアカウントは管理が不十分になりやすく、サイバー攻撃の標的にされやすい」という問題でした。
誰も使っていないけど、まだ有効なアカウント。パスワードが古いまま変更されていない、多要素認証が設定されていない、異常なログインに誰も気づかない。
そういう「放置されたアカウント」が、攻撃者にとっては格好の入口になっていたのです。
新しい運用
2025年以降の卒業・退職者から、猶予期間を完全廃止。
「退職・卒業と同時に、すべてのITサービス・アカウントが使用不可」となり、データも復元不可の形で削除されます。
この記事から考えたいこと
大学の話ですが、「退職後も使えるアカウントが放置されていた」という問題は、中小企業にそのまま当てはまります。
中小企業の「退職者アカウント」、実態は?
少し考えてみてください。
直近1年以内に退職した社員がいるとして、その方のアカウントは今どうなっていますか?
- Microsoft 365 / Google Workspaceのアカウント
- 社内システムのログインID
- クラウドサービス(会計ソフト、勤怠管理、受発注システムなど)
- メーリングリスト・共有メールボックス
「全部、退職日に削除しました」と自信を持って言える状態でしょうか。
中小企業でよくあるパターンをいくつか挙げてみます。
パターン1:削除したと思っていたけど、残っていた
退職手続きの中でアカウント削除が「誰かがやるだろう」となって、実は誰もやっていなかった。
ログを確認してみたら、退職後も有効なアカウントが残っていた。
パターン2:「念のためしばらく残しておいて」
「引き継ぎが完全に終わるまで、メールを転送するためにアカウントを残しておいて」という指示が出て、そのまま忘れられる。
パターン3:システムごとに担当者が違ってバラバラ
メールはIT担当者が消したけど、会計ソフトのIDは経理が消すはずで、勤怠管理のIDは総務が消すはずで…気づいたらどれかが漏れていた。
これ、どれも「あるある」ではないでしょうか。
「もう使わないだろう」が一番危ない
放置されたアカウントが危険な理由は、単純です。
誰も見ていないから気づかない。
現役社員のアカウントなら、「突然ログインできなくなった」「身に覚えのない操作があった」と本人が気づいて報告してくれます。
でも退職者のアカウントを不正利用されても、誰も気づきません。
ログを定期的に確認する仕組みがなければ、何ヶ月も、場合によっては何年も気づかないまま侵入され続けることがあります。
過去にご紹介した「日販グループHDの元従業員が6年間メールを転送し続けた」事件も、長期間気づかれなかった事例です。
日販グループHDの事例は元従業員の意図的な行動でしたが、「放置されたアカウント」を外部の攻撃者が使い続ける場合も、同じ構造です。
「アカウント棚卸し」を一度やってみる
対策として、まず今いる状態を把握することをお勧めします。
名づけて「アカウント棚卸し」です。
難しいことはなく、以下を確認するだけです。
チェックリスト(手動でもOK)
- [ ] Microsoft 365 / Google Workspaceのユーザー一覧を確認し、在籍中の社員と突き合わせる
- [ ] 会計ソフト・勤怠管理・受発注システムなど、主要なクラウドサービスのユーザー一覧を確認する
- [ ] 最終ログイン日時が1ヶ月以上前のアカウントをピックアップする
- [ ] リストアップしたアカウントが本当に必要か、使用者に確認する
Microsoft 365であれば管理センターから、Google Workspaceであれば管理コンソールから、ユーザー一覧と最終ログイン日時を確認できます。
「最終ログイン日時が3ヶ月以上前」のアカウントは、まず実態を確認しましょう。
退職者や長期休職者のアカウントが見つかることがあります。
「退職チェックリスト」を作っておく
もう一つの予防策として、退職手続きのチェックリストにアカウント削除を組み込んでおくことをお勧めします。
退職手続きチェックリスト(IT担当) □ Microsoft 365 / Googleアカウントの無効化・削除 □ 会計ソフトのユーザー削除 □ 勤怠管理システムのユーザー削除 □ 受発注・在庫管理システムのユーザー削除 □ メーリングリスト・共有メールボックスからの除外 □ 社内Wi-Fiの認証情報リセット(必要な場合) □ 入退室カード・鍵の回収(ITではないが忘れがち)
退職者が出るたびにこのリストに沿って作業することで、「誰かがやっているだろう」という曖昧な状態を防げます。
今日からできること
- Microsoft 365またはGoogle Workspaceのユーザー一覧を確認し、在籍者リストと突き合わせる(15〜30分でできる)
- 主要なクラウドサービスのユーザー一覧を1つだけ確認してみる(会計ソフトや勤怠管理など)
- 「退職チェックリスト」を簡単なメモでいいので作っておく
「全部一気に確認しなくては」と思わず、1つのシステムから始めるだけで十分です。
まとめ
今回のポイントをまとめます。
- 東北学院大学が、卒業・退職後180日間の「アカウント猶予期間」を廃止。退職日即日停止に変更
- 理由は、猶予期間中のアカウントが管理されず、不正アクセスの標的になっていたため
- 中小企業でも「退職者のアカウント削除忘れ」は非常によくある問題
- 放置されたアカウントは「誰も見ていない」ため、不正利用されても気づきにくい
- 対策の第一歩は「アカウント棚卸し」=現在有効なアカウントと在籍者の突き合わせ
- 退職手続きチェックリストにアカウント削除を組み込んでおくことが予防策として有効
人の出入りがあるたびに「アカウントの整理」が必要になります。
退職だけでなく、異動・部署変更のタイミングでも、必要なアクセス権限が変わっていないか確認する習慣を持てると、セキュリティはぐっと強くなります。
また気になるニュースがあったら、考察記事を書きたいと思います。
経営者から聞かれたときの回答例
もし経営者から「退職した社員のアカウント、ちゃんと消してる?」と聞かれたら、こんな感じで答えてみてはいかがでしょうか。
「基本的には退職手続きの中で対応しています。ただ、今日のニュースを読んで、一度ちゃんと棚卸しをしたほうがいいと思っています。
会社で使っているシステムが複数あると、どこかで削除が漏れることがあります。大学でも、退職後もしばらく使えるアカウントを残していたところ、そこを入口に不正アクセスされた、という事案が起きています。
来週、主要なシステムのユーザー一覧を確認して、在籍中の社員と突き合わせてみます。もし使われていないアカウントが見つかれば、削除または停止の対応をします。
また、今後の退職者が出たときのためにチェックリストも作っておきますね。」
「問題があったかもしれないが、確認して対処する」という姿勢を伝えることがポイントです。
責任問題にするのではなく、「今後こうする」という前向きな提案にすることで、経営者も安心できます。
TechAtlas(てっくあとらす) 元・中小企業ITインフラ支援部門責任者 | 9,000社以上の IT環境を支援してきた経験をもとに、IT初心者に寄り添う情報を発信中
ブログ: 中小企業IT担当者のスタートガイド
