委託先・外部パートナーのSaaSアクセスを安全に管理するゼロトラスト運用
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
企業が業務を効率化するために、委託先や外部パートナーと協業することは珍しくありません。 しかし、外部パートナーに社内システムやSaaSサービスへのアクセス権を付与する際には、大きなセキュリティリスクが伴います。
「委託先のセキュリティレベルがわからない」「退職時のアクセス権削除を忘れたらどうしよう」「外部ネットワークからのアクセスが不正に利用されていないか」といった懸念は、多くの企業が直面する課題です。
本記事では、外部パートナーのアクセス管理におけるセキュリティリスク、そしてゼロトラスト原則に基づいた安全なアクセス管理方法を解説します。
外部パートナーのアクセス管理が抱える課題
可視性の欠如
外部パートナーがいつ、どのシステムに、何のためにアクセスしているかが不透明な企業が多くあります。 SaaSサービスの場合、アクセスログが分散していることで、全体像を把握することが困難です。 結果として、不正アクセスや権限の濫用を検出できないリスクが生じます。
セキュリティレベルの差異
委託先企業のセキュリティ対策が自社と同等とは限りません。 外部パートナーが低いセキュリティレベルで運用されていた場合、その企業を経由した攻撃が自社へ波及するリスクがあります。 いわゆる「サプライチェーン攻撃」のターゲットになる可能性があります。
アクセス権の放置
外部パートナーとの契約終了後も、アクセス権が削除されないままになることは珍しくありません。 数ヶ月、数年後に元パートナーが不正にシステムにアクセスするという事例も報告されています。
⇒【ロリポップ!固定IPアクセス】月額490円、すぐに使えて最大2ヶ月間無料!
ゼロトラスト原則に基づいた外部パートナー向けアクセス制御
ゼロトラスト「信頼しない、常に検証する」という原則は、外部パートナーのアクセス管理こそが最も重要な適用領域です。
1. 最小権限原則(Least Privilege)の厳格な実装
外部パートナーには、業務遂行に必要な最小限の権限のみを付与します。
具体的な実装方法
- システムごとに必要な権限を詳細に定義する
- 部門全体へのアクセスではなく、特定フォルダ・プロジェクトへのアクセスに限定する
- データベースへのアクセスについては、読み取り専用または特定レコード範囲のみに制限
- リアルタイムデータではなく、加工後のマスタデータへのアクセスに限定
例えば、Web制作会社のパートナーが自社のEC システムにアクセスする場合、「商品マスタの読み取り」「デザイン素材の格納フォルダへの書き込み」といった具合に、必要最小限にスコープを限定します。
2. 時間限定アクセスの設定
外部パートナーのアクセス権に「有効期限」を設定することで、契約終了時の権限削除漏れを防止します。
実装パターン
- デフォルトでアクセス権を90日間有効とし、延長が必要な場合は再申請をさせる
- SaaSプラットフォーム(Google Workspace、Microsoft 365 など)の機能を活用して、期限切れ後の自動削除を設定
- 3ヶ月ごとのレビュー時に、継続の必要性を判断
3. IPアドレス制限による追加検証レイヤーの構築
外部パートナーであっても、アクセス元のIPアドレスを固定・制限することで、セキュリティを大幅に強化できます。
固定IPアドレス制限のメリット
- なりすまし攻撃を防止できる
- 不正なアクセスを即座に検出できる
- VPN接続の確認まで含めた、多層防御が実現できる
ロリポップ固定IPアクセスのようなVPNサービスを活用すれば、委託先企業がどの回線・オフィスからアクセスしても、常に同じIPアドレスで接続することが可能です。 その固定IPアドレスのみに対してシステムへのアクセスを許可するポリシーを設定することで、認可されていない場所からのアクセスを完全にブロックできます。
4. 多要素認証(MFA)の強制
外部パートナーが認証情報を盗まれた場合でも、MFAがあれば追加の認証ステップが必要になり、不正アクセスを防止できます。
実装方法
- パスワード + TOTP(Time-based One-Time Password)
- パスワード + メール確認
- パスワード + SMS認証
これらを組み合わせることで、より強固な認証体制が実現できます。
⇒【ロリポップ!固定IPアクセス】月額490円、すぐに使えて最大2ヶ月間無料!
外部パートナー向けアクセス管理の実装フロー
ステップ1:申請と承認
外部パートナーがシステムにアクセスする必要が生じた場合、まずは所属部門の責任者に申請します。
申請時に確認すべき項目
- パートナー企業名・担当者名
- アクセス理由(具体的な業務内容)
- アクセス期限
- 必要な権限範囲
- セキュリティ要件への同意
ステップ2:権限設定と条件付与
申請が承認されたら、以下の設定を実施します。
権限設定
- SaaSプラットフォームでユーザーを作成し、最小権限ロールを割り当て
- IP制限を有効化し、許可するIPアドレスを登録
- アクセス有効期限を設定(初期値:90日)
外部パートナー側への通知
- 固定IP取得の推奨(ロリポップ固定IPアクセス利用など)
- MFA設定の強制化
- セキュリティポリシーの説明・同意
ステップ3:定期レビュー
3ヶ月ごと(または契約更新時)に、以下を確認します。
- アクセス権が依然として必要か
- アクセスログに異常はないか
- セキュリティポリシーが遵守されているか
ステップ4:アクセス終了
契約終了時には、即座に以下の対応を実施します。
- ユーザーアカウントの削除
- 発行していた認証デバイス(物理セキュリティキーなど)の返却確認
- アクセスログの長期保存(監査対応のため)
委託先向けSaaSアクセス管理の実例
例1:Web制作委託先のSaaS管理
自社がWebサイト更新をWeb制作会社に委託する場合のアクセス管理です。
委託先に付与する権限
- CMS(コンテンツ管理システム):特定ページカテゴリのみ編集可能
- デザイン管理SaaS:承認済みテンプレートの参照、新規アップロード不可
- 分析ツール:アクセスレポート閲覧のみ、設定変更不可
セキュリティ設定
- IP制限:委託先オフィスの固定IPアドレスに限定
- MFA強制:TOTP方式
- アクセス有効期限:契約期間終了日に自動削除
例2:経理業務委託先のクラウド会計ツール管理
経理データの入力・確認を外部の経理代行企業に委託する場合です。
委託先に付与する権限
- クラウド会計システム:仕訳入力、基本レポート閲覧のみ
- ストレージ:請求書・領収書フォルダのアップロード権限のみ
- レポーティング:経営層向けレポートの作成は不可
セキュリティ設定
- IP制限:委託先企業の固定IP、または固定IP対応VPN経由のアクセスに限定
- MFA強制
- アクセスログの詳細記録と月次監査
外部パートナーのセキュリティアセスメント
外部パートナーのセキュリティレベルを評価する際、以下のポイントを確認しましょう。
- セキュリティポリシー パートナー企業が統一されたセキュリティポリシーを有しているか
- 従業員教育 セキュリティトレーニングを実施しているか、その頻度は
- インシデント対応計画 セキュリティインシデント発生時の報告体制が整備されているか
- コンプライアンス ISO27001等の認証取得状況、または自己評価レポート
- 固定IPの利用 アクセス経路が固定化され、常に同じIPアドレスから接続しているか
これらを確認することで、パートナーとの協業に際するリスクを事前に把握・軽減できます。
固定IP導入による、外部パートナーアクセス管理の強化
ゼロトラスト導入において、固定IPアドレス制限は外部パートナーのアクセス管理において最も効果的な施策の一つです。 委託先が常に同じIPアドレスからアクセスすることを要求することで、なりすまし攻撃や予期しないアクセスを完全に排除できます。
ロリポップ固定IPアクセスを委託先に推奨することで、パートナー側の負担を最小限に抑えながら、高いセキュリティレベルを維持できます。
⇒【ロリポップ!固定IPアクセス】月額490円、すぐに使えて最大2ヶ月間無料!
ロリポップ!固定IPアクセスで外部パートナーのセキュアな接続を実現
委託先・外部パートナーのSaaSアクセス管理は、ゼロトラスト導入における重要な課題です。 最小権限原則、時間限定アクセス、そして固定IPアドレス制限を組み合わせることで、安全で監査可能なアクセス体制が実現できます。
ロリポップ!固定IPアクセスは、GMOペパボ株式会社が提供する固定IPアドレス対応のVPNサービスです。 月額490円(税込539円)〜という国内最安級の価格で、VPN経由でどこからでも常に同じ固定IPアドレスを使ってインターネットにアクセスできます。 高速かつ安全なVPNプロトコル「WireGuard」を採用しており、オンライン申し込み後すぐに利用を開始できます。 最大2ヶ月間の無料お試し期間も用意されているため、まずは気軽に導入テストが可能です。 委託先・パートナー企業に固定IP利用を推奨し、より堅牢なアクセス制御体制を構築しましょう。
