実践ガイド
オフボーディングチェックリスト
退職・異動時に漏れなく実施すべきセキュリティ対応の一覧。日本企業でありがちな「あるある」な落とし穴と対策をまとめています。
なぜオフボーディングが重要なのか
退職者のアカウント管理不備は、内部脅威の中で 最も予防しやすいにもかかわらず、最も放置されがち な領域です。
日本企業では特に以下のような「あるある」が頻発しています。
- 退職日を過ぎても VPN アカウントが生きている
- 共有の Google Workspace / Microsoft 365 アカウントのパスワードが変更されていない
- 退職者が個人端末にインストールした業務アプリ(Slack、Teams 等)からまだアクセスできる
- 「引き継ぎのため」と称してアカウントを数ヶ月残す運用が慣例化している
- 派遣社員・業務委託の契約終了時に IT 部門への連絡が遅れる
これらは 仕組み化 することで防げます。
以下のチェックリストを使って、退職・異動時の対応を標準化しましょう。
退職日当日(Day 0)
退職日の業務終了と同時に、以下をすべて実施します。「後でやる」は許されません。
| # | 項目 | 担当 | 備考 |
|---|---|---|---|
| 1 | メールアカウントの無効化 | IT | 自動転送設定を後任者に切り替える |
| 2 | VPN / リモートアクセスの無効化 | IT | 最優先。外部からの侵入経路を断つ |
| 3 | Active Directory / IdP アカウントの無効化 | IT | SSO 経由の全サービスが一括でブロックされる |
| 4 | 社用端末(PC・スマホ)の回収 | 総務/IT | 回収前にリモートワイプ可能な状態を確認 |
| 5 | IC カード・物理鍵の回収 | 総務 | ビル入館カード、サーバールームの鍵 等 |
| 6 | 社用クレジットカード・ETCカードの回収 | 経理 | 退職後の不正利用を防止 |
| 7 | 個人端末の業務アプリ削除確認 | IT/本人 | BYOD 端末の Slack、Teams、メールアプリ等 |
退職日当日: クラウドサービス・SaaS
SSO でカバーされないサービスは個別に対応が必要です。
| # | 項目 | 担当 | 日本企業あるある |
|---|---|---|---|
| 1 | Google Workspace / M365 のライセンス解除 | IT | 「まだメール見るかも」で放置しがち |
| 2 | Slack / Teams のアカウント無効化 | IT | ゲストアカウントの削除忘れに注意 |
| 3 | GitHub / GitLab の権限削除 | 開発 | Organization からの除外。Fork に注意 |
| 4 | AWS / GCP / Azure の IAM ユーザー削除 | インフラ | 個人の IAM ユーザーだけでなくロール引き受けも確認 |
| 5 | 共有アカウントのパスワード変更 | IT | SNS 運用アカウント、共有メールなど |
| 6 | SaaS の管理者権限の棚卸し | IT | 退職者が管理者のまま残っているケースが多い |
| 7 | ファイル共有の権限見直し | 各部門 | Google Drive、Box、SharePoint のフォルダ共有 |
退職後 1 週間以内
当日の対応が完了した後、以下を確認します。
| # | 項目 | 担当 | 備考 |
|---|---|---|---|
| 1 | ログの確認 | IT | 退職前 1 ヶ月間のアクセスログに不審な大量ダウンロード等がないか |
| 2 | メール自動転送の確認 | IT | 退職者宛メールが適切に後任者に転送されているか |
| 3 | API キー・トークンのローテーション | 開発 | 退職者が作成した API キーやアクセストークンを再発行 |
| 4 | CI/CD パイプラインの確認 | 開発 | デプロイキーや Secret に退職者の認証情報が使われていないか |
| 5 | 業務委託先への通知 | 法務/営業 | 退職者が窓口だった取引先に担当変更を連絡 |
日本企業でよくある落とし穴
| 落とし穴 | なぜ起きるか | 対策 |
|---|---|---|
| 「引き継ぎ期間」でアカウント延命 | 引き継ぎに退職者アカウントが必要と思い込む | 後任者に権限を移し、退職者アカウントは無効化する |
| 派遣・業務委託の契約終了が IT に伝わらない | 人事と IT の連携不足 | 契約終了日を IT 部門に自動通知する仕組みを作る |
| 共有 PC のログイン情報が退職者のまま | 共有端末の管理が属人的 | 共有 PC は共有アカウントまたはゲストアカウントで運用 |
| 退職者の Google Drive にしかないファイル | 個人のマイドライブに業務ファイルを保存 | 業務ファイルは共有ドライブに保存するルールを徹底 |
| 「いい人だったから大丈夫」で対応を省略 | 人間関係でセキュリティ判断をしてしまう | 人ではなく仕組みで守る。全員に同じプロセスを適用 |
| 名刺・紙の顧客リストの回収漏れ | デジタルに意識が集中し、紙媒体を忘れる | 退職チェックリストに紙媒体の項目を含める |
テンプレート: オフボーディングチェックシート
以下を自社用にカスタマイズして使ってください。
| カテゴリ | チェック項目 | 完了 |
|---|---|---|
| アカウント | IdP / Active Directory 無効化 | |
| メールアカウント無効化 + 自動転送設定 | ||
| VPN / リモートアクセス無効化 | ||
| SaaS アカウント無効化(Slack, GitHub 等) | ||
| クラウド IAM ユーザー削除 | ||
| 共有アカウントのパスワード変更 | ||
| 物理 | 社用 PC・スマホの回収 | |
| IC カード・物理鍵の回収 | ||
| 社用クレジットカードの回収 | ||
| 名刺・紙の顧客資料の回収 | ||
| データ | 個人ドライブの業務ファイル移管 | |
| ファイル共有権限の見直し | ||
| API キー・トークンのローテーション | ||
| CI/CD シークレットの確認 | ||
| 確認 | 退職前アクセスログの確認 | |
| 個人端末の業務アプリ削除確認 | ||
| 取引先への担当変更連絡 |
関連トピック
内部脅威- 従業員や委託先など内部の人間による情報漏洩・不正アクセス。退職者のアカウント削除忘れや委託先の権限管理不備が重大インシデントにつながる。 端末の紛失・盗難- ノート PC・スマートフォン・USB メモリ・書類などの物理的な紛失や盗難による情報漏洩。暗号化やリモートワイプの未設定が被害を拡大させる。 クラウド設定ミス- クラウドストレージやサービスのアクセス権限・公開設定の誤りによる情報漏洩。S3 バケットの公開放置や Google Drive の共有設定ミスなど、設定一つで大規模漏洩に直結する。 パスワードポリシー- パスワードの強度・管理・運用に関するルール。NIST SP 800-63B に基づく最新のガイドラインでは、定期変更よりも長く推測困難なパスワードが推奨される。