リスク

2026年5月21日に退職した竹内 香織のGoogle Workspaceアカウントが有効なまま残っています。退職後も最終ログインが記録されており、不正アクセスの起点となるリスクがあります。

Cloudflare Administrator権限を持つAPIトークン（サービスアカウント）が多要素認証なしで運用されています。トークン漏えい時に全ゾーン設定が改ざんされる恐れがあります。

業務委託のQAエンジニア福田 蓮のGitHubアカウントで2要素認証が有効化されていません。組織のリポジトリへ書き込み権限を保有しています。

GitHubのOutside Collaboratorが業務委託先（加納氏）のエイリアスとして検出されましたが、信頼度55%で照合が確定していません。MFAも未設定です。

Google Workspace上のinfo@novatech.co.jpが従業員台帳と照合できませんでした。共有メールボックスと推定されますが、所有者・MFA状態が不明です。

派遣社員が業務利用する個人所有Windows端末にEDRおよびCloudflare WARPが適用されていません。社内システムへ非管理端末からアクセスしています。

Adobe Creative Cloudは10席契約に対し稼働4席（稼働率40%）です。年換算で約86万円の無駄なコストが発生しています。

macOS Monterey 12.7が稼働しており、最新のセキュリティアップデート対象から外れつつあります。

CI用サービスアカウントが台帳に登録されていますが、四半期ごとの棚卸し記録が確認できません。低リスクですが定期レビュー対象です。

紛失届が提出されたWindows端末（NT-TP-7180）はBitLockerによるディスク暗号化が無効でした。社外秘データの漏えいリスクが高い状態です。

オンボーディング中の松井 駿に貸与された端末がJamf未登録、かつディスク暗号化が無効です。EDR（Defender）も未導入で、初期設定が完了していません。

全社のMFA有効率が基準値95%を下回っています。業務委託・派遣メンバーを中心に未設定アカウントが残存しています。

Google Workspaceの特権管理者ロールが必要以上に付与されている可能性があります。最小権限の原則に基づく見直しが推奨されます。

前任の経理担当が利用していた会計SaaS連携が退職後も残存していましたが、停止対応が完了しました。

開発部のMacBook 8台でFileVaultが未適用でしたが、Jamf構成プロファイルで一斉に有効化しました。

長期間アクセスのないSlack外部ゲスト5名を検出し、無効化しました。