「形だけのレビュー」から「機能するレビュー」へ
アクセス権棚卸し(User Access Review、以下UAR)は、J-SOX ITGCでもISMS(ISO 27001)でもSOC2でも必須の統制要件です。しかし「全員OKでハンコ」「Excelを所属長に送ったが返ってこない」「やったかどうか自体記録がない」など、運用が形骸化している企業が大半です。
本記事では、(1) UARの設計、(2) 対象システムの分類、(3) Entra ID Access Reviews等のツール活用、(4) 業務SaaSの横断運用、(5) 証跡化と監査対応──の5つの観点で、実際に機能するアクセス権棚卸しの実装手順を解説します。前提理解はIT監査とは、IT監査の頻出指摘15選、J-SOX ITGC実装ガイドを併せてご参照ください。
なぜ棚卸しは形骸化するのか
UARが機能しない典型的な失敗パターンと根本原因です。
| 失敗パターン | 根本原因 | 対策の方向性 |
|---|---|---|
| 所属長が「全員OK」とハンコだけ押す | レビューする情報が抽象的すぎ、判断基準がない | 権限の意味を平易に翻訳、判断ポイントを明示 |
| Excelを送ったが返ってこない | 所属長の負担大、期限管理が緩い | ツールでワークフロー化、リマインダ自動送信 |
| レビューしたか分からない | 記録媒体が分散、フォルダ整理されていない | SharePointなどで保管場所を一元化 |
| 業務SaaSが対象から漏れる | SaaSが多すぎ、棚卸し対象が情シス側で把握できていない | SaaS台帳の整備、Tier分類で重要SaaSに絞る |
| 剥奪アクションまで実施されない | レビューと実行のフロー分離 | 「不承認=即剥奪」の自動連携 |
UAR設計の基本原則
機能するUARは以下の5原則で設計します。
- 原則1:頻度を権限の重要性で変える──特権ID=月次/管理者=四半期/一般=年次
- 原則2:レビュアは所属長+システムオーナー──情シス1人で判断しない
- 原則3:判断材料を分かりやすく──「グローバル管理者」より「全員のメール削除可能」
- 原則4:未対応=自動的に剥奪扱い──スルー防止
- 原則5:すべての操作を証跡化──「いつ/誰が/何を承認した」を保管
対象システムの分類とTier設計
すべてのシステムを同じ頻度でレビューするのは現実的ではありません。リスクベースに3つのTierへ分類します。
| Tier | 対象システム | レビュー頻度 | レビュアー |
|---|---|---|---|
| Tier 1(高) | 基幹会計、人事DB、給与、財務系SaaS、特権ID(GA、root等) | 月次(特権ID)/四半期 | 所属長+経理部長/システムオーナー |
| Tier 2(中) | M365管理者ロール、CRM、業務SaaS、共有フォルダ/SharePointサイト管理者 | 四半期 | 所属長 |
| Tier 3(低) | 一般ユーザー(ライセンス保有のみ)、社内Wiki/チャット | 年次 | 所属長/HR連動 |
Tier 1の特権ID(グローバル管理者、AWS root、SaaS Admin等)は四半期では不十分です。月次でレビューし、退職/異動/プロジェクト終了などに即時対応します。Microsoft Entra Privileged Identity Management(PIM)のJIT機能を併用すれば月次レビューの工数を最小化できます。
主要システム別のレビュー実装
Microsoft 365 / Entra ID
- Entra ID Access Reviewsを活用:所属長/本人/ピアレビューを設定可能
- 対象:管理者ロール、Microsoft 365 グループ、セキュリティグループ、外部ユーザー(ゲスト)
- 未対応時のデフォルトアクション:「アクセスを削除」を選択(スルー防止)
- レコメンデーション機能:90日アクセスなしのユーザーをハイライト
- 必要ライセンス:Entra ID P2(Microsoft 365 E5に含む、または単体)
SharePoint / OneDrive
- サイトコレクション管理者の四半期レビュー
- 外部共有先の月次レビュー(共有レポート)
- 機密サイト(人事・経営・経理)の特別レビュー
業務SaaS(Salesforce、kintone、freee、SmartHR等)
- 各SaaSの管理者画面からユーザー一覧をエクスポート
- 所属長へSharePoint/Box共有でレビュー依頼
- レビュー後のアクション(権限変更/削除)を実施し記録
- SCIM対応SaaSはEntra IDからプロビジョニング連携で半自動化
AWS / Azure / GCP
- IAMユーザー/ロール/グループの四半期レビュー
- AWS:IAM Access Analyzerで未使用権限を発見
- Azure:PIM Access Reviewsで管理者ロールをレビュー
- GCP:Recommender APIで過剰権限を提示
オンプレ/ネットワーク機器
- Active Directoryの管理者グループ(Domain Admins、Enterprise Admins)月次
- ファイルサーバー共有権限の四半期
- VPN/FW管理画面の四半期
- 業務サーバー(基幹システム、データベース)の月次
Entra ID Access Reviewsの設定例
Microsoft 365 E5またはEntra ID P2環境で、業務SaaSとM365を横断したアクセス権棚卸しを最も効率化できる仕組みです。
基本セットアップ手順
- Microsoft Entra管理センター → Identity Governance → Access Reviewsを開く
- 「New access review」を作成。対象を選択(グループ、アプリケーション、管理者ロール)
- レビューア設定:「Group owners」または「Selected users」(所属長指定)
- 頻度を設定:四半期 or 年次/継続レビュー(Continuous)
- 未対応時のデフォルト:「Remove access」
- レコメンデーションを有効化(30日/90日アクセスなしを表示)
- レビュー結果の自動適用:「Auto apply results to resource」をON
運用のコツ
- レビュアー宛の通知文は「業務上必要か」を平易な表現で
- レビュー期間は1〜2週間(短すぎると未対応、長すぎると忘れる)
- 四半期末の業務カレンダーに固定タスクとして配置
- レビュー結果(CSVエクスポート)をSharePointの監査エビデンスフォルダに保管
Entraに繋がっていないSaaSの運用
すべてのSaaSがEntra IDのSCIMプロビジョニングに対応しているわけではありません。手動運用のテンプレートです。
四半期UARの作業フロー(手動SaaS向け)
| タイミング | 担当 | アクション |
|---|---|---|
| 四半期初(−10営業日) | 情シス | 各SaaSのユーザー一覧をエクスポート、Excel/CSV化 |
| 四半期初(−7営業日) | 情シス | SharePointのレビューフォルダにアップロード、所属長へ通知 |
| 四半期初(−7〜−3営業日) | 所属長 | 各ユーザーについて「継続」「削除」「権限変更」を記入 |
| 四半期初(−2営業日) | 情シス | 未提出の所属長に督促 |
| 四半期初(0日) | 情シス | 各SaaSで権限変更/削除を実施 |
| 四半期初(+3営業日) | 情シス | 実施後のユーザー一覧を再エクスポートし、レビュー結果と一致を確認 |
| 四半期初(+5営業日) | IT責任者 | UAR報告書を作成し承認 |
監査エビデンスの構成
監査人が「アクセス権棚卸しの記録を見せてください」と言ってきたときに即座に提示できる構成です。
| ファイル種別 | 内容 | 保管場所 |
|---|---|---|
| UAR運用規程 | 頻度/対象/レビュアー/フローを定めた規程 | 規程管理SharePoint |
| UAR報告書(四半期/年次) | 実施期間、対象システム、レビュー結果サマリ、是正アクション | 監査エビデンスSharePoint |
| レビューア提出シート | 所属長別の判定結果Excel/CSV | 同上 |
| 是正アクションログ | 権限変更・削除の実施記録(誰がいつ何を) | 同上 |
| 確認エビデンス | 変更後のユーザー一覧スクリーンショット/CSV | 同上 |
| UAR承認記録 | IT責任者・経理部長の承認サイン | 同上 |
/Audit Evidence/UAR/2026 Q1/
├ 01_運用規程.pdf
├ 02_UAR報告書_2026Q1.docx
├ 03_提出シート_全部門.xlsx
├ 04_是正アクションログ.xlsx
├ 05_実施前後比較.xlsx
└ 06_承認記録.pdf
例外運用と留意点
退職・異動の即時対応との連携
UARは「定期的な確認」であり、退職・異動の即時対応と並行で動かします。退職届受理→IT無効化(Day 0)/異動辞令→権限変更(数日内)。UARはこれを補完するセーフティネット。
長期休職者の扱い
育休・介護休業等で6ヶ月以上業務を離れる場合、ライセンスを一時停止または共有プールに戻す。復帰時に再付与。J-SOXでは長期休職中のIDを残すこと自体は問題ないが、「サインイン無効」化を推奨。
業務委託・派遣・インターンの扱い
契約期間に応じてアカウントの有効期限を設定(Entra IDの「Account Expires」設定)。契約延長時は期限を更新。期限切れで自動失効。
サービスアカウントの扱い
個人ユーザーとは別にレビュー。所有部門・利用システム・更新方法を四半期で確認。長期未使用のサービスアカウントは即停止候補。
UARのKPI
UAR運用の有効性を測る指標例です。
- 所属長レビュー実施率:90%以上を目標(未提出率10%未満)
- 剥奪率:5〜15%(極端に低い/高いはレビューが機能していない兆候)
- 過剰権限の検出件数:四半期推移を追う(減少傾向が望ましい)
- レビュー期間遵守率:100%
- 是正アクションの実施完了率:100%
- 監査指摘件数:年次推移
よくある落とし穴
- レビュアーが情シス1人:所属長レビューが必須。情シスは仕組み提供のみ
- 「全員OK」のハンコレビュー:剥奪率0%のレビューは形骸化シグナル。ヒアリングで実態確認
- 業務SaaSを忘れる:M365だけでなくCRM・MA・チャット・人事SaaSも対象
- 権限変更を実施せずに終わる:「不承認」のままアクション忘れがもっとも多い指摘
- 証跡の散在:個人OneDrive保存はNG、SharePoint一元化
- 退職時IT無効化を「UARでカバー」と思う:別フロー。UARは補完のみ
段階的導入プラン(6ヶ月)
UARをゼロから整備する場合の6ヶ月段階導入プランです。
| 月 | マイルストーン |
|---|---|
| Month 1 | 対象システムの棚卸し、Tier分類、UAR規程ドラフト |
| Month 2 | Tier 1(基幹・特権ID)の四半期レビュー実施 |
| Month 3 | Entra ID Access Reviewsのセットアップ、Tier 2(M365管理者)レビュー |
| Month 4 | 業務SaaS主要3〜5本のレビューフロー整備 |
| Month 5 | Tier 3(一般ユーザー)の年次レビュー実施 |
| Month 6 | UAR運用規程の正式承認、監査エビデンス整備、KPIダッシュボード作成 |
BTNコンサルティングの支援
BTNコンサルティングでは、UARのゼロからの設計、Entra ID Access Reviewsの初期構築、四半期レビューの伴走運用、監査エビデンス整備までを情シス365のサービスとして提供しています。J-SOX、ISMS、SOC2、上場準備などの監査要件に応じたUAR設計が可能です。アクセス権棚卸しの形骸化を解消し、監査指摘ゼロを目指せます。
まとめ
アクセス権棚卸しは「やる/やらない」ではなく「機能するように設計する」が問われる統制です。リスクベースのTier分類、所属長+システムオーナーのレビュー、Entra ID Access Reviewsの活用、未対応の自動剥奪、SharePointでの証跡一元化──この5点を押さえれば、形骸化したレビューから機能するレビューへ移行できます。J-SOX・ISMS・SOC2いずれの監査でも、機能するUARはもっとも評価されやすい統制の一つです。6ヶ月の段階導入プランで、まずは特権IDからの整備をお勧めします。