プロジェクト終了後に放置される一時権限を自動で検知・削除しセキュリティリスクとライセンス浪費を防ぐ方法

プロジェクトや業務委託のために付与した一時的なアクセス権限が、プロジェクト終了後も削除されずに残り続けている。この問題は多くの企業で発生しており、放置すれば退職済みの外部委託メンバーが社内システムにアクセスできる状態が続いたり、使われていないライセンスに毎月費用を払い続けたりする事態を招きます。情報漏えいや監査指摘のリスクが高まる今、一時権限の管理は後回しにできない課題です。

この記事は、従業員50〜500名規模の企業で、情シス担当者や総務・管理部門のマネージャーとしてアカウント管理やセキュリティ対応を兼務している方を想定しています。読み終えると、プロジェクトの終了と同時に一時権限を自動で検知し、棚卸から削除までを仕組み化する実務ワークフローを自社に導入できるようになります。大規模エンタープライズ向けのIDガバナンス基盤の構築や、個別ツールの網羅的なレビューは扱いません。

なお、本記事で紹介するツールの組み合わせは代表的な一例です。同じ役割を果たす別の製品でも、同様のワークフローを構築できます。

読み終えた時点で、プロジェクト終了をトリガーにした権限棚卸・削除の運用フローと、各ツールの設定方針が手元に揃った状態になります。

Workflow at a glance: プロジェクト終了後に放置される一時権限を自動で検知・削除しセキュリティリスクとライセンス浪費を防ぐ方法

• Step 1: プロジェクト完了時に一時権限の対象者リストを自動抽出する (Backlog) (タスク管理・プロジェクト管理)
• Step 2: ウェブフックを受けて権限棚卸タスクを自動生成し担当者に通知する (Power Automate) (RPA)
• Step 3: 対象アカウントの権限を確認・無効化し記録を残す (LANSCOPE エンドポイントマネージャー クラウド版) (IT資産管理ツール)

なぜプロジェクト終了後の一時権限は放置され続けるのか

権限の付与と削除が別の担当者・別のタイミングで行われる

プロジェクト開始時にアクセス権限を付与するのは、プロジェクトマネージャーや現場のリーダーです。一方、プロジェクトが終わった後に権限を削除するのは情シス担当者の仕事になります。この付与と削除の担当者が異なるうえ、プロジェクトの終了日が情シスに正確に伝わる仕組みがないため、削除のタイミングを誰も把握できません。結果として、付与は即日で行われるのに、削除は永遠に行われないという非対称が生まれます。

プロジェクト管理と権限管理のシステムがつながっていない

多くの企業では、プロジェクトの進捗管理にはプロジェクト管理ツールを使い、アカウントや権限の管理にはIT資産管理ツールやActive Directoryを使っています。この2つのシステムが連携していないため、プロジェクトのステータスが完了になっても、権限側には何の通知も届きません。手動で突き合わせない限り、放置された権限を発見する方法がないのです。

定期棚卸の仕組みがないか、あっても形骸化している

権限の棚卸を四半期に一度やると決めていても、対象アカウントの一覧を手作業でExcelに書き出し、各部署に確認メールを送り、返答を待ち、削除申請を出すという手順では、担当者の負荷が大きすぎて続きません。結果として棚卸は先送りされ、不要な権限が半年、1年と残り続けます。

放置が招く具体的なリスク

不要な権限が残ったアカウントは、退職した業務委託メンバーや異動した社員が意図せず社内データにアクセスできる状態を意味します。セキュリティインシデントの原因になるだけでなく、ISMS（情報セキュリティマネジメントシステム）やPマークの監査で指摘事項となり、対応工数が膨れ上がります。さらに、SaaSのライセンスは使われていなくても課金が続くため、月に数万円から数十万円の無駄なコストが発生し続けます。

重要な考え方：プロジェクト終了日を権限削除のトリガーにし、人の記憶に頼らない仕組みをつくる

この課題を解決する鍵は、プロジェクトの終了という事実を、権限削除のアクションに自動でつなげることです。人が覚えていて手動で対応するのではなく、システム間の連携によって確実に実行される仕組みにします。

プロジェクト管理ツールの終了ステータスを起点にする

プロジェクト管理ツール上でプロジェクトのステータスが完了に変わった瞬間を、ワークフロー全体の起点にします。これにより、プロジェクトマネージャーがいつも通りプロジェクトを閉じるだけで、後続の権限棚卸が自動的に始まります。現場の運用を変えずに仕組みを回せることが重要です。

検知・通知・削除の3段階で安全に進める

一時権限を即座に削除するのではなく、検知して一覧化する、担当者に通知して確認を求める、確認後に削除を実行するという3段階を踏みます。これにより、まだ必要な権限を誤って削除するリスクを防ぎつつ、放置を確実になくせます。

棚卸の頻度を仕組みで担保する

プロジェクト終了時のトリガーに加えて、月次の定期棚卸も自動化します。プロジェクト終了の登録漏れや、終了日が曖昧なまま自然消滅したプロジェクトの権限も、定期棚卸で拾い上げる二重のセーフティネットを構築します。

プロジェクト終了から権限削除までの実務ワークフロー

ステップ 1：プロジェクト完了時に一時権限の対象者リストを自動抽出する（Backlog）

プロジェクト管理にはBacklogを使います。プロジェクト開始時に、一時権限を付与したメンバーの情報をBacklogの課題（チケット）として登録しておきます。具体的には、プロジェクトごとに権限管理用の親課題を1つ作成し、付与した権限の種類、対象システム、対象メンバー名、付与日、予定終了日をカスタム属性または課題の説明欄に記載します。

プロジェクトマネージャーがプロジェクトのステータスを完了に変更すると、Backlogのウェブフック機能によって後続のステップに通知が飛びます。この時点で、権限管理用の課題に記載された対象者リストが自動的に次のステップの入力データになります。

運用上のポイントとして、プロジェクト開始時に権限管理用の課題を作成するルールを徹底することが前提です。これはプロジェクト開始時のチェックリストに組み込んでおきます。Backlogにはプロジェクトテンプレート機能がないため、課題テンプレート機能を活用して、権限管理用の課題を毎回同じフォーマットで作成できるようにします。

ステップ 2：ウェブフックを受けて権限棚卸タスクを自動生成し担当者に通知する（Power Automate）

BacklogのウェブフックをPower Automateで受信します。Power AutomateはMicrosoft 365を導入している企業であれば追加コストなしで利用できるワークフロー自動化ツールです。

Power Automateのフローでは、以下の処理を自動で実行します。まず、Backlogから送られてきたウェブフックの内容を解析し、完了になったプロジェクトの権限管理用課題から対象者リストを取得します。次に、情シス担当者宛てに権限棚卸タスクをMicrosoft Teamsのチャネルまたはメールで通知します。通知には、対象メンバー名、対象システム、付与されている権限の種類、プロジェクト名、プロジェクト終了日を含めます。

さらに、月次の定期棚卸として、Power Automateのスケジュールトリガーを使い、毎月1日にBacklog上で完了ステータスのプロジェクトに紐づく権限管理課題のうち、まだ未完了（権限削除が済んでいない）のものを一覧化して情シス担当者に送信します。これがプロジェクト終了トリガーの漏れを拾うセーフティネットになります。

Power Automateのフロー作成にはプログラミングの知識は不要です。Backlogのウェブフック受信にはHTTPトリガー（Power Automate のプレミアムコネクタ）を使用します。Microsoft 365 E3以上のライセンスがあればプレミアムコネクタを利用できます。

ステップ 3：対象アカウントの権限を確認・無効化し記録を残す（LANSCOPE エンドポイントマネージャー クラウド版）

情シス担当者は、Power Automateから届いた棚卸タスクの内容をもとに、LANSCOPE エンドポイントマネージャー クラウド版で対象アカウントの権限状態を確認します。LANSCOPE エンドポイントマネージャー クラウド版は、PCやモバイル端末の管理に加えて、ソフトウェアのインストール状況やアカウントの利用状況を可視化できるIT資産管理ツールです。

具体的な作業手順は次の通りです。まず、LANSCOPE エンドポイントマネージャー クラウド版の管理画面で対象メンバーのデバイスとアカウント情報を検索し、現在の権限状態を確認します。次に、不要と判断した権限について、対象システム側（Active DirectoryやSaaSの管理画面）でアカウントの無効化または削除を実行します。最後に、Backlogの権限管理用課題のステータスを完了に変更し、削除日と対応内容をコメントとして記録します。

LANSCOPE エンドポイントマネージャー クラウド版で直接アカウントを削除するのではなく、あくまで現状の確認と証跡の参照に使う点がポイントです。実際の削除操作は各システムの管理画面で行い、その記録をBacklogに残すことで、監査時に誰がいつどの権限を削除したかを追跡できる状態にします。

権限削除の判断に迷う場合は、Backlogの課題コメントでプロジェクトマネージャーに確認を依頼します。3営業日以内に返答がなければ無効化を実行するというルールを事前に決めておくと、確認待ちで放置される事態を防げます。

この組み合わせが機能する理由

Backlog：プロジェクトと権限情報を一元管理できる

Backlogは日本企業で広く使われているプロジェクト管理ツールであり、現場のプロジェクトマネージャーがすでに日常的に利用している可能性が高いです。プロジェクトの開始・終了管理と権限付与の記録を同じツール内で行うことで、情報の分散を防げます。ウェブフック機能を備えているため、ステータス変更を外部システムに通知する仕組みを低コストで構築できます。弱みとしては、権限管理専用のツールではないため、課題テンプレートの運用ルールを現場に徹底する必要がある点です。運用ルールが守られなければ、権限情報の登録漏れが発生し、ワークフロー全体が機能しなくなります。

Power Automate：プログラミング不要で自動化の橋渡しができる

Power Automateは、Backlogのウェブフックを受信して通知やタスク生成を自動実行する橋渡し役です。Microsoft 365環境があれば追加のツール導入なしで利用でき、ノーコードでフローを構築できるため、情シス担当者が1人で設定・運用できます。スケジュールトリガーによる月次棚卸の自動化も同じツール内で完結します。制約として、BacklogのウェブフックをHTTPトリガーで受信するにはプレミアムコネクタが必要であり、Microsoft 365のライセンスグレードによっては追加費用が発生します。また、フローが複雑になると保守が難しくなるため、1フローあたりの処理はシンプルに保つことを推奨します。

LANSCOPE エンドポイントマネージャー クラウド版：デバイスとアカウントの実態を可視化できる

LANSCOPE エンドポイントマネージャー クラウド版は、対象メンバーが実際にどのデバイスを使い、どのソフトウェアやサービスにアクセスしているかを確認できるIT資産管理ツールです。権限の棚卸において、Backlog上の記録だけでは把握しきれない実際の利用状況を補完する役割を果たします。たとえば、Backlogに記録されていない権限が付与されていた場合でも、LANSCOPE エンドポイントマネージャー クラウド版のデバイス管理画面から発見できる可能性があります。一方で、SaaSのアカウント管理については対象範囲が限定される場合があるため、主要なSaaSについては各サービスの管理画面での確認も併用する必要があります。

Recommended tool list

結論：プロジェクト終了を権限削除の起点にすれば放置は仕組みで防げる

一時権限の放置は、人の記憶や善意に頼った運用が原因で発生します。プロジェクト管理ツールの完了ステータスを起点に、自動通知と定期棚卸の二重構造で権限削除を仕組み化すれば、担当者の負荷を増やさずにセキュリティリスクとライセンスコストの無駄を同時に解消できます。

最初の一歩として、現在進行中のプロジェクトの中から1つを選び、Backlogに権限管理用の課題を作成してみてください。そこに対象メンバーと付与した権限を記録するだけで、このワークフローの起点が完成します。1つのプロジェクトで運用を回してみて、問題がなければ全プロジェクトに展開する進め方が最も確実です。

Mentioned apps: Backlog, Power Automate, LANSCOPE エンドポイントマネージャー クラウド版

Related categories: IT資産管理ツール, RPA, タスク管理・プロジェクト管理

Related stack guides: FTA/EPA協定の改正・新規発効情報を現場に届けて関税優遇の見逃しと法令違反を防ぐ方法, 取引先が増えるたびにデータ変換を個別開発する負担をなくし連携スピードとコストを改善する方法, EDI受信データと基幹システムのマスタ不整合を解消し受注処理の遅延と誤出荷を防ぐ方法, 監査対応の資料依頼で何度もやり取りが発生する問題を解消し監査日程の遅延を防ぐ方法, 補助金の申請期限から逆算して社内承認とタスクを連動させ申請見送りをなくす方法