その管理、大丈夫ですか?――中堅事務所でよく起きるIT事故3選
「うちの事務所にはセキュリティ事故なんて関係ない」と思っていませんか。
残念ながら、スタッフが2〜3人いる規模の士業事務所ほど、気づかないまま重大なリスクを抱えているケースが多いのが実態です。高価なセキュリティ機器を導入していなくても、日常の「うっかり」や「なんとなくの運用」が情報漏洩の入口になります。
まず、実際によく起きる3つの事例を見てください。
事例A:退職したスタッフのアカウントを消し忘れていた
「先月辞めた事務スタッフ、GoogleドライブやクラウドのIDをきちんと削除しましたか?」
退職後もクラウドサービスのアカウントが有効なまま放置されているケースは、中小規模の事務所に非常に多く見られます。本人に悪意がなくても、退職後に自宅のPCから顧客情報のフォルダを閲覧できる状態が続いていることになります。
さらに怖いのが、その元スタッフのGoogleアカウントやMicrosoftアカウントが第三者に乗っ取られた場合です。攻撃者にとって、事務所の顧客データへのアクセス経路がそのまま開いていることになります。退職者のアカウント管理は「いつかやろう」ではなく、退職当日に対応するルールが必要です。
事例B:スタッフ全員が同じID・パスワードを使い回していた
「コスト節約のために、クラウドソフトを1アカウントで複数人が使っていませんか?」
ライセンス費用を抑えたい気持ちはわかります。しかし、1つのアカウントをスタッフ全員で共有していると、誰がいつ何をしたかの操作ログが取れません。万が一情報漏洩が起きても、原因の特定が事実上不可能になります。
また、そのパスワードを使い回して他のサービスにも同じ認証情報を使っていた場合、1カ所から情報が漏れるだけで連鎖的にすべてのサービスへの不正アクセスが可能になります。いわゆる「パスワードリスト攻撃」の格好の標的です。
事例C:クラウドの「リンクを知っている全員が閲覧可能」設定を放置していた
「急いで書類を送りたかったから」「操作が面倒だったから」という理由で、GoogleドライブやOneDriveの共有設定を「リンクを知っている全員が閲覧可能」にしたまま放置していませんか?
この設定は、URLさえわかれば誰でも・どこからでもファイルを閲覧できる状態です。メールやチャットにURLを貼り付けた際に第三者に転送される、うっかりSNSに投稿してしまうといった経路で、顧客情報が外部に流出するリスクがあります。士業として課せられている守秘義務の観点からも、放置は許されません。
「どれも他人事じゃない」と感じた方は、以下のチェックリストで今すぐ事務所の現状を確認してみてください。
【チェックリスト】アカウント・パスワード管理の基本5項目
まず最優先で整備すべきなのが、アカウントとパスワードの管理です。費用をかけずに今日から着手できる対策ばかりなので、1つずつ確認していきましょう。
| # | チェック項目 | 確認 |
|---|---|---|
| 1 | スタッフごとに個別アカウントを発行している | ☐ |
| 2 | 共有パスワードを使っていない | ☐ |
| 3 | パスワードマネージャーを導入している | ☐ |
| 4 | 主要サービスに二段階認証(MFA)を設定している | ☐ |
| 5 | 退職者のアカウントを即日無効化するルールがある | ☐ |
① スタッフごとに個別アカウントを発行している
なぜ必要か
共有アカウントでは「誰が・いつ・何をしたか」の操作履歴が取れません。情報漏洩が発生したとき、原因特定と責任の所在が不明確になります。また、スタッフが退職した際に「そのアカウントを無効にしたら他のスタッフも使えなくなる」という問題が生じ、対応が後回しになりがちです。
どうすればいいか
GoogleアカウントやMicrosoftアカウントは1人につき1つ発行するのが原則です。「コストがかかる」という声もありますが、Google WorkspaceやMicrosoft 365のビジネスプランは1ユーザーあたり月数百円〜数千円程度から始められます。情報漏洩時の損害賠償リスクと比較すれば、決して高くありません。
② 共有パスワードを使っていない
なぜ必要か
同じパスワードを複数のサービスで使い回している場合、1カ所から情報が漏れると他のすべてのサービスへの不正アクセスも可能になります。また、スタッフに口頭でパスワードを伝えている場合、退職後もそのパスワードが通用し続けるリスクがあります。
どうすればいいか
サービスごとに異なる複雑なパスワードを使用し、後述のパスワードマネージャーで管理します。「自分では覚えられない」という声には、「覚えなくていい、ツールに任せる」という発想の転換を促しましょう。
③ パスワードマネージャーを導入している
なぜ必要か
人間が自力で管理できる「強いパスワード」には限界があります。パスワードマネージャーを使えば、各サービスに対して長くてランダムな文字列のパスワードを自動生成・保存・自動入力できます。スタッフ全員のパスワード管理を一元化でき、退職時の権限回収も容易になります。
どうすればいいか
具体的なツールはH2⑤(今日から使えるツール3選)で詳しく紹介します。
④ 主要サービスに二段階認証(MFA)を設定している
なぜ必要か
パスワードが漏れただけではログインできない状態を作ることが重要です。Microsoftの公式情報によると、MFAを有効にすることでアカウント侵害攻撃の99.2%以上をブロックできます。逆に言えば、MFAを設定していない事務所はその分だけリスクにさらされているということです。
どうすればいいか
Google WorkspaceやMicrosoft 365の管理コンソールから、組織全体にMFAを強制適用できます。スタッフ個人の判断に任せるのではなく、管理者側が強制設定する点がポイントです。「スマートフォンへの通知で認証する」方式(Microsoft Authenticatorアプリ等)が操作しやすくおすすめです。
⑤ 退職者のアカウントを即日無効化するルールがある
なぜ必要か
退職後もアクセス可能な状態が続くと、元スタッフによる意図的・非意図的な情報持ち出しリスクが残り続けます。しかも、その元スタッフのアカウントが第三者に乗っ取られた場合、事務所に悪意ある攻撃者へのアクセス経路を提供してしまうことになります。
どうすればいいか
「退職当日の業務終了後にアカウントを無効化する」をルールとして文書化してください。具体的な手順はH2④(退職・異動時のIT引き継ぎ手順)で詳しく解説します。
【チェックリスト】クラウド・ファイル共有の権限管理5項目
アカウント管理と並んで見直したいのが、クラウドサービス上のファイル共有設定です。GoogleドライブやOneDriveを「なんとなく」使っている事務所は要注意です。
| # | チェック項目 | 確認 |
|---|---|---|
| 1 | ファイル共有の「閲覧のみ」と「編集可能」を使い分けている | ☐ |
| 2 | 「リンクを知っている全員が閲覧可能」設定のファイルがない | ☐ |
| 3 | 顧客情報フォルダへのアクセスは担当者のみに絞っている | ☐ |
| 4 | 退職時に共有解除する手順が決まっている | ☐ |
| 5 | 定期的(年1回以上)に共有設定の棚卸しをしている | ☐ |
「リンクを知っている全員が閲覧可能」は今すぐ確認を
GoogleドライブもOneDriveも、操作ミスやデフォルト設定でこの状態になりやすい仕組みになっています。
特に多いのが「急いで顧客に書類を送りたかった」という場面でこの設定を使い、そのまま放置されているケースです。URLさえあれば外部からアクセスできる状態のため、メール転送やSNS投稿といった経路で意図せず流出する危険があります。
Google Workspace管理コンソールでは、組織全体の「外部共有設定」を管理者が一括制限できます。まずは設定の棚卸しから始めましょう。
「必要な人だけ」の原則(最小権限の原則)を徹底する
補助スタッフ全員が全顧客のフォルダを閲覧できる状態は、必要以上のアクセス権を与えている過剰アクセスです。理想は「担当案件のフォルダだけを見られる状態」です。
Google WorkspaceやMicrosoft 365の「グループ」「組織部門」機能を活用すると、フォルダの閲覧権限を担当者単位で管理しやすくなります。
棚卸しのタイミングは「年1回+退職・異動のたびに」
定期棚卸しは年1回が最低ラインですが、最も抜け漏れやすいのは「スタッフが退職・異動するタイミング」です。この機会に必ず共有設定を見直す習慣をつけましょう。
退職・異動時のIT引き継ぎ手順
「管理が曖昧な中堅事務所」で最も多い抜け漏れがここです。退職・異動のたびに場当たり的に対応するのではなく、手順を事前に決めておくことが重要です。以下の5ステップをフローとして整備してください。
Step 1|使用サービスの棚卸し(退職1〜2週間前)
そのスタッフが業務で使っているサービス・アカウントをすべてリストアップします。口頭確認だけでなく、Google Workspace管理コンソールやMicrosoft Entra IDの管理画面でログイン履歴を確認するのが確実です。
確認すべき主なサービス例
・Google Workspace / Microsoft 365
・クラウド会計ソフト(弥生、freee等)
・電子申請ソフト(e-Tax、登記・供託等)
・ファイルストレージ(Dropbox、Box等)
・事務所独自のクラウドシステム
Step 2|ファイル・データの引き継ぎ(退職1週間前まで)
担当案件のファイルを所長または後任担当者の管理下に移します。
- Googleドライブ:ファイルのオーナーを管理者に変更する。管理コンソールの「離職した従業員のデータを保持するオプション」機能を活用すると、アカウント削除後もデータを保全できます。
- OneDrive / SharePoint:Microsoft Entra IDの管理画面からアカウントを無効化する前に、必要なファイルを共有フォルダに移動させます。
Step 3|権限の段階的縮小(退職数日前)
退職日に向けて、編集権限を閲覧のみに落とすなど段階的に権限を縮小しておきます。業務に支障がない範囲で事前に対応することで、退職当日の作業を最小限にできます。
Step 4|アカウント無効化(退職当日・業務終了後)
Google Workspace管理コンソール(admin.google.com)またはMicrosoft Entra IDの管理画面でアカウントを「削除」ではなく「無効化(停止)」します。削除するとデータも消えてしまうため、まず無効化し、データ保全を確認してから削除するのが安全な手順です。
あわせて、パスワードマネージャーの共有保管庫からも退職者を削除してください。
Step 5|端末の初期化確認(返却時)
事務所支給のPCやスマートフォンは、データを完全消去・初期化してから返却・再利用します。私物端末(BYOD)を業務利用していた場合は、業務アプリへのサインアウトと業務データの削除を必ず確認してください。
退職時IT対応チェックリスト(保存用)
| タイミング | 対応内容 | 完了 |
|---|---|---|
| 退職1〜2週間前 | 使用サービスのリストアップ | ☐ |
| 退職1週間前 | ファイル・データの引き継ぎ | ☐ |
| 退職数日前 | 権限の段階的縮小 | ☐ |
| 退職当日(業務終了後) | 全アカウント無効化・パスワードマネージャーから削除 | ☐ |
| 端末返却時 | 端末初期化・業務アプリのサインアウト確認 | ☐ |
今日から使えるツール3選(パスワード管理・権限管理)
ここまで解説してきた対策を実行するうえで、具体的に役立つツールを紹介します。事務所の環境に合わせて選んでください。
① 1Password(個人〜チーム向けパスワードマネージャー)
どんなツール?
パスワード、クレジットカード情報、重要書類などをまとめて安全に保存・管理できるパスワードマネージャーです。Windows / macOS / iOS / Android に対応し、Chrome・Firefox・Safari・Edgeなど主要ブラウザの拡張機能でパスワードの自動入力が可能です。
士業事務所にうれしいポイント
スタッフごとに「保管庫(Vault)」を分けて管理でき、「見せていい情報・見せない情報」を細かく制御できます。アカウントパスワードに加えて固有の「秘密鍵」で二重暗号化されているため、万が一サーバーが侵害されても保管庫のデータは守られます。
内蔵の「Watchtower」機能では、脆弱・使い回しのパスワードや情報漏洩サイトを自動検知してアラートを出してくれます。退職者対応も簡単で、対象スタッフのアクセス権を管理画面から削除するだけで共有解除が完了します。
Bitwardenとの違い
Bitwardenには無料プランがあるため個人利用では選択肢になりますが、チームへのユーザー登録(プロビジョニング)の自動化設定に手間がかかる面があります。1Passwordはセットアップが簡単で、IT担当者を置きにくい小〜中規模事務所に向いています。
料金の目安:ビジネスプランは14日間の無料トライアルあり。料金はプランによって異なるため、公式サイトでご確認ください。
② Google Workspace 管理コンソール(Googleドライブ・Gmail利用事務所向け)
どんなツール?
Google Workspaceを契約している事務所が使える管理画面です。admin.google.com からアクセスでき、Google Workspaceのすべてのサービスを一元管理できます。
士業事務所にうれしいポイント
管理コンソールからユーザーの追加・削除・権限変更を一画面で管理できます。退職者のアカウントを削除する際は「離職した従業員のデータを保持するオプション」機能を使うことで、アカウント削除後もそのスタッフが管理していたGoogleドライブのファイルを別の管理者に引き継ぐことができます(データを消さずに済む)。
管理者ロールは細分化ができ、「ユーザー管理だけできる補助スタッフ」など、必要最小限の権限だけを付与した管理者を設定することも可能です。スマートフォン向けのGoogle管理コンソールアプリ(iOS / Android対応)もあるため、外出先からの緊急対応にも使えます。
注意点
管理コンソールを使うにはGoogle Workspace(Business Starter以上)の契約が必要です。無料のGmailアカウントでは管理コンソール機能は利用できません。また、管理者権限の範囲は付与されたロールによって異なるため、所長が全権限を持ち、補助スタッフには必要最小限のロールのみ付与するのが原則です。
③ Microsoft Entra ID(旧 Azure AD)(Microsoft 365利用事務所向け)
どんなツール?
Microsoftが提供するクラウド型のID・アクセス管理(IAM)サービスです。旧称は「Azure Active Directory(Azure AD)」ですが、現在は「Microsoft Entra ID」が正式名称です(機能は同一です)。
士業事務所にうれしいポイント
スタッフ全員のMicrosoftアカウントを一元管理でき、OneDrive・SharePoint・Outlook・Teamsなどへのアクセス権をまとめてコントロールできます。
最大のメリットの一つがMFAの組織全体への一括強制です。前述のとおり、MFAを有効にするだけでアカウント侵害攻撃の99.2%以上をブロックできます(Microsoft公式情報)。スタッフ個人の設定任せにせず、管理者側で強制適用できるのが法人利用の強みです。
退職対応もシンプルで、管理画面でアカウントを無効化するだけで、そのスタッフのMicrosoft 365サービス全体(OneDrive・Outlook・Teams等)へのアクセスを即座にブロックできます。
またシングルサインオン(SSO)に対応しており、複数のアプリを1つの認証情報でまとめてログインできるため、スタッフが複数のサービスに別々のパスワードを使わずに済みます。
プランと料金(税抜・年払い目安)
・Microsoft Entra ID P1:899円 / ユーザー / 月〜(条件付きアクセス、詳細レポートなど)
・Microsoft Entra ID P2:1,349円 / ユーザー / 月〜(P1の全機能+リスクベースのアクセス制御、Privileged Identity Managementなど)
・Microsoft 365 Business Premium:3,298円 / ユーザー / 月〜(Microsoft Entra ID P1を含む、最大300ユーザー向けの統合プラン)
中小規模の士業事務所であれば、Microsoft 365 Business Premiumに含まれる形での導入が機能・コストのバランスがよくおすすめです。いずれのプランも30日間の無料トライアルがあります。
注意点
「Azure AD」という旧名称は現在も各種サポートサイトや記事で混在して使われています。「Entra ID」と「Azure AD」は同一サービスですので、混乱しないようにご注意ください。
ツール選び早見表
| 事務所の環境 | 優先すべきツール |
|---|---|
| Googleドライブ・Gmail中心 | Google Workspace管理コンソール + 1Password |
| Microsoft 365中心 | Microsoft Entra ID + 1Password |
| 両方混在している | 1Passwordで一元的なパスワード管理を先に整備 |
まとめ:まずアカウント管理の「基本5項目」から着手しよう
セキュリティ対策と聞くと「高価なシステムを導入しないといけない」というイメージを持つ方も多いですが、実際にはアカウントとパスワードの管理を整備するだけで、多くのリスクを大幅に下げることができます。
今日からできる最初の一歩は、H2②のチェックリスト5項目を確認することです。もし1つでもチェックがつかない項目があれば、そこがあなたの事務所のリスクポイントです。完璧を目指すより、気づいた順に1つずつ潰していく姿勢が大切です。
セキュリティ対策のハードウェア面や、より詳細なセキュリティソフトの選び方については、以下の関連記事もあわせてご覧ください。
- 顧客情報を守るセキュリティ対策ガイド|士業のための“当たり前”を今すぐ整える
- 士業の情報資産を守るセキュリティ対策ハードウェアの選び方
- 士業が避けるべき「危険なPC」の特徴とは?あなたの信用を守るための選び方
※本記事に記載のツール料金・仕様は2026年4月時点の公式情報をもとにしています。最新情報は各サービスの公式サイトでご確認ください。
