休眠IDとは？危険性や必要なセキュリティ対策について徹底解説

退職したにも関わらず消し忘れた社員アカウント、利用されなくなったサービスのIDなど、使われなくなり休眠状態のままシステム上に残ってしまったアカウントのことを「休眠ID」と言います。

休眠IDは、セキュリティ上いろいろな問題を含んでいると言われます。それはなぜでしょうか。どのようにして対応すれば良いのでしょうか。

この記事の目次

1 休眠IDとは
2 休眠IDの危険性
3 休眠IDへの対応
4 休眠IDに必要なセキュリティ対策
5 まとめ

休眠IDとは

使われなくなったフリーメールのアドレス、退職したにも関わらず残ったままの社員アカウント、facebookなどSNSでの使われないアカウントなど、世界中のITシステムには膨大な数の使われないままのアカウントが存在します。普段使われているアクティブなアカウントに対して、こうしたアカウントのことを「休眠ID」と呼びます。

休眠IDの危険性

使われないまま放置されている休眠IDには、実は悪意のある第三者にとって悪用される危険性の高い多くの問題が潜んでいます。以下では、それらについて解説します。

不正ログイン

まずは第三者にアカウントを勝手に使われる、他人になりすましてログインされてしまう「不正ログイン」の危険性です。これによって、本来権限を持たない利用者が勝手にシステムを利用することを許してしまいます。

情報窃取

不正にログインできてしまうということは、システムに侵入するだけでなく、本来触れてはいけないはずの顧客情報や技術情報などの機密情報などにも触れられてしまう危険性があることを示します。その結果、情報を搾取され、外部に流出させられてしまうというリスクがあります。

アカウント乗っ取り（なりすまし）

最後に、不正にアカウントを使われるということは第三者が本来の利用者になりすますということを意味しています。全く関係のない赤の他人が、本来の利用者になりすまして犯罪行為などを行う可能性があるのです。

休眠IDへの対応

使われず放置されたままの休眠IDがあることは、セキュリティ的に大きなリスクをはらんでいます。そのあたり、大手の各サービスではどういった対応をしているのでしょうか。

ID停止（Yahoo）

参照長期間ご利用がないYahoo! JAPAN IDの利用を停止します/YAHOO!JAPANセキュリティセンター

Yahooでは、使われなくなったアカウントは4年以上という期間を目安に停止させるという処理を行なっています。あくまで「停止」であり、データ削除などが行われるわけではないので、本人からの希望があり本人確認などの手続きができれば復旧することができるようになっています。

ID削除（マイクロソフト）

参照Microsoft アカウントの使用を停止する方法/Microsoft

マイクロソフトでは、音声通話サービスのSkypeや、メールサービスのOutlookなどを提供していますが、アカウントが原則2年間使われない状態にあると削除されるようになっています。

追悼アカウント（Facebook）

参照追悼アカウント/Facebook

SNSでは、利用者本人が亡くなった場合など、家族や周囲の友人などがアカウントをそのまま閲覧したいという希望を持っているケースがあります。

Facebookでは、こうした希望に応えるために、ログインがなくても削除されない「追悼アカウント」というものを設けています。なお、それ以外の通常のアカウントは6ヶ月ログインがなければ自動的に削除されるようになっています。

休眠IDに必要なセキュリティ対策

悪意を持つ第三者に休眠IDが不正に利用されないようにするためには、どういった対策をすれば良いのでしょうか。

ルールを設けて休眠IDを自動削除

まずは、先ほど紹介した大手のITサービスのように一定の期限などのルールを設けて、それに基づいて休眠IDを自動で削除する、あるいは停止するといった処理をすることです。これによって、使われないアカウントがいつまでも利用可能な状態でシステム上に残ったままになるといったリスクを避けることができます。

ID管理の徹底

もう一つは、当然ことながらID管理を厳格化することです。具体的には、社員が退職するときには速やかに削除する、育児休業などで休職する場合は停止させるといったことを業務フローに組み込み、確実に実施するといったことです。こうしたことを行うことで、そもそも把握されない休眠IDが残ってしまうといったことはかなり避けることが出来るでしょう。