パスワードがデータ漏洩で侵害され、ダークウェブで利用
オフボーディングは、従業員が組織を離れる際に行われる過程です。
しかし、多くの企業ではこのプロセスが見過ごされがちです。
関係が悪くなってしまった場合は特に、従業員との雇用関係を終わらせるのが非常に困難な仕事になるかもしれません。不満を抱く元従業員が会社情報を公開するようなことを確実に防止するために、オフボーディングは不可欠です。過去に、元従業員が大規模なデータ侵害の原因となったケースがありました。
元CIA職員が、CIAの歴史上最大の情報漏洩を実行したことで有罪判決を受けたときのように、意図的なデータ侵害もあります。
オフボーディングは単なる手続き的なプロセスではなく、計画してプロセスや仕組みを企業の中で、取り入れて準備しておくことが大切です。
オフボーディングが従業員と企業の両方にとってどのように価値あるものになり得るのか、その必要性と効果的な手法をご紹介します。
オフボーディングとは?
従業員のオフボーディングは、従業員が会社を退職した後に行うプロセスです。これは、退職した社員が担当していた業務を確実に他の従業員に移行し、組織をサイバー脅威にさらす可能性のある潜在的な脆弱性を防止するために必要なステップです。
オフボーディングのプロセスには、以下のようなものがあります。
- 従業員の業務と責任を他のチームメンバーに委任する
- 従業員の会社アカウントへのアクセスを無効にする(社内およびクライアントのセキュリティにとって非常に重要です)
- 会社の機器を返却する
- 退職面談を実施してフィードバックを得る
オフボーディングのプロセスが必要な理由
オフボーディングのプロセスの目的は、元従業員が悪影響を残さずに退職し、未完成のままになっている業務を片付けることです。また、元従業員からのフィードバックは、現在および将来のチームのために会社を改善する上で有益です。
オフボーディングプロセスの利点には、以下のようなものがあります。
- セキュリティリスクの軽減 — 元従業員がセンシティブな情報や知的財産にアクセスするのを防ぐために、会社が会社の資産を取り戻し、従業員のアクセスを無効にすることが期待されます。
- 法的問題の防止 — 適切なオフボーディングプロセスにより、従業員が状況を明確に把握できます。これにより、契約紛争、補償、さらには不当解雇などのトピックについて双方が話し合うことができます。
- 事業遂行上の課題の管理 — 従業員が退職する前にオフボーディングプロセスを行うことで、残りのチームメンバーへの業務の振り分けが促進されます。適切な委任により、プロジェクトのスケジュールが変更されたり、利害関係者に悪影響を及ぼしたりするのを防ぐことができます。
- 会社へのフィードバックの提供 — 従業員の退職面談は、退職する従業員にとって、チームリーダーにフィードバックを提供し、できる限り良好な関係で退社するための機会です。
従業員のオフボーディングを行い組織の安全を保つ方法
オフボーディングのプロセス中に考慮すべきいくつかのステップがあります。会社の従業員をオフボーディングするときは、以下の一般的なガイドラインに従ってください。
1. オンボーディング時にあらかじめ計画する
オフボーディングのプロセスは、基本的にオンボーディングプロセスの反対です。適切なオンボーディングプロセスを行えば後でオフボーディングに役立つ情報を収集できるため、オフボーディングプロセスを効率化できます。
新しいメンバーがチームに参加するときに、従業員のオフボーディングチェックリストを作成します。従業員ごとに、すべてのデジタル資産と物理的な資産を追跡して記録します。確認事項は例として以下が挙げられます:
- その従業員には、どのような機器が必要ですか?
- 何にアクセスする必要がありますか?
- どのようなプロジェクトに取り組む予定ですか?
担当業務と使用する機器をメモしておきます。それが将来のオフボーディングプロセスに役立ちます。
2. すべての機器を回収する
ラップトップ、セキュリティパス、USB、ID、ハードドライブ、その他の会社の機器を回収します。センシティブデータを記録したサムドライブを回収し忘れると、不正行為を働く人の手に渡りデータ侵害を引き起こす恐れがあります。
3. 従業員アカウントのシャットダウン
すべての物理的な資産を回収した後、従業員のオンラインアクセスも無効にする必要があります。アカウントの停止には、以下が含まれます。
- 共有フォルダ、ファイル、アカウントへのアクセスを取り消す
- 共有パスワードのリセット
- 停止した従業員のライセンスを別の従業員に割り当てる
4. アクティビティを監視する
退職までの数週間のアクティビティを監視して、従業員が個人用のパソコンにファイルを複製していないことを確認します。Eメールの転送を防止するために、ポリシーを設定します。
オフボーディングに関するよくある質問
不適切なオフボーディングのプロセスで、企業はどのようなリスクを負うのでしょうか?
不適切なオフボーディングのプロセスは、サイバー犯罪の扉を開く可能性があります。関係が悪化して会社を退職する従業員は、復讐しようとして故意にデータ侵害を引き起こし、業務に携わる全員を危険にさらす可能性があります。
一方、良好な関係で従業員が退職したとしても、不適切なオフボーディングプロセスを行えば、チームと顧客のデータを危険にさらす可能性があります。たとえば、会社が共有アカウントのパスワードを変更しない場合、元従業員が自宅のパソコンで共有アカウントにログインする可能性があります。元従業員が良好なサイバー衛生を実践していなければ、会社のアカウントを危険にさらすことになります。
オフボーディングの責任者は誰ですか?
オフボーディングプロセスは、人事チームと直属の上司の共同責任です。人事(HR)は、必要な事務処理と法的手続を行います。直属の上司は従業員の担当業務をよく理解しているので、人事担当者と協力して従業員の退職までの手続きを支援します。
会社の規模によっては、機器の返却と、会社のアカウントや情報へのアクセスの取り消しを確実に行うために、ITチームが関わる場合もあります。
まとめ:Keeperを使用して従業員のオフボーディングを簡単に
Keeperを使用すると、役割ベースのアクセス制御や委任管理などの機能により、オフボーディングプロセスが容易になります。従業員が会社を退職するときに、ボルトを別のユーザーに簡単に転送できるため、認証情報を失うことなく、元従業員によるボルトへのアクセスを防止できます。
ドキュメントポータルで、Keeperの管理者管理と、会社と従業員がオンボーディングとオフボーディングを簡単に行える方法について詳しく知ることができます。
KeeperPAM™(特権アクセスマネージャー)は、エンタープライズパスワード管理(EPM)、Keeper Secrets Manager(KSM)、そしてKeeper コネクションマネージャー(KCM)という3つの強力なセキュリティソリューションを一つの統合プラットフォームにまとめたものです。このプラットフォームを活用することで、組織がリモート接続や機密情報、認証情報を保護するのに役立つ、迅速に導入できる次世代の PAMソリューションを提供します。
PAMソリューションがあれば、組織は適切に管理できて、従業員のログイン管理やオンボーディングだけなく、オフボーディングも簡素化できます。
PAMソリューションを利用すると、あらゆるサイバー攻撃の脅威やオフボーディングによる内部脅威も最小限に抑えられます。
無料版お試し版を配布しているので、まずは無料体験版をリクエストしてお試しください。