前言:最危險的帳號,是「沒人記得關」的那個
企業談資安,常把預算投在防火牆、EDR、入侵偵測上——防的是「外面打進來」。但實務上,大量的資安事件其實源自合法但失控的帳號:離職三個月帳號還能登入、外包專案結束 VPN 還開著、共用的管理員帳號沒人知道密碼給過誰。
這些帳號不會觸發入侵警報,因為它們「本來就有權限」。攻擊者只要拿到一組這樣的憑證,就能大方地走正門進來。帳號的生命週期治理,是最基礎、CP 值最高,卻最常被忽略的一道防線。
一、什麼是 JML 帳號生命週期?
JML 指的是一個人在組織中的三個關鍵節點:
- Joiner(到職) — 建立帳號、賦予權限、交付設備
- Mover(異動) — 調職、升遷、轉部門時調整權限
- Leaver(離職) — 撤銷帳號與所有存取權
核心原則只有一句:帳號的權限,必須隨「人員的真實狀態」即時同步。 人來了就開通、職務變了就調整、人走了就關閉。聽起來理所當然,但只要流程仰賴「人工記得」,就一定會有漏網之魚。
二、Joiner(到職):開通要快,但要「最小權限」起步
新人報到當天就要能工作,但「為了方便」一次給足權限,是日後權限失控的起點。
- 角色化開通(RBAC):依職務角色(而非個人)定義權限範本。同一職務的新人套用同一組權限,既快又一致,也方便日後稽核。
- 最小權限起步:先給「做這份工作必要」的權限,需要更多時再走申請流程。寧可事後加,不要事前濫給。最小權限同時也是零信任架構的基石原則。
- 帳號、設備、驗證同步交付:AD/SSO 帳號、公司設備、多因素驗證(MFA)應在同一個到職流程中一次到位,避免「帳號開了但 MFA 沒設」的半套狀態。
- 建立到職檢核表:把要開通的系統(AD、郵件、VPN、各 SaaS、內部系統)列成清單,逐項勾稽,避免遺漏或重複。
三、Mover(異動):最容易累積「權限沉積」的階段
員工調職、升遷、支援跨部門專案時,IT 通常會「加上新權限」——但很少有人記得收回舊權限。日積月累,一個資深員工可能握有橫跨多個部門、早已用不到的存取權,這就是「權限沉積(privilege creep)」。
權限沉積的風險在於:一旦這個帳號被盜,攻擊者能觸及的範圍遠超過該員工實際需要的。
- 每次異動都做加減法:調整職務時,同步檢視「該收回哪些舊權限」,不只是加新的。
- 定期權限再認證(access recertification):至少每季或每半年,由各部門主管確認其成員的權限是否仍然必要。久未使用的權限應回收。
- 特別盯特權帳號:管理員、資料庫、財務系統等高權限帳號,異動時更要嚴格檢視——這類帳號的專責管控,可進一步參考特權存取管理(PAM)。
四、Leaver(離職):撤銷要即時、要完整
離職是 JML 中風險最高、卻最容易出包的環節。重點有兩個:夠快、夠全。
夠快:原則上在離職生效當下就停用所有帳號。若是非自願離職或敏感職務,應在通知的當下、甚至提前完成撤銷——不要給情緒不佳的離職者留下存取窗口。
夠全:撤銷不能只關 AD 一個地方。實務上要逐一處理:
- 網域帳號(AD / SSO)與電子郵件
- VPN、遠端桌面、堡壘機等遠端存取
- 各雲端 SaaS(協作、CRM、設計、開發工具等,常被遺漏)
- 共用帳號的密碼輪換(這個人知道的共用密碼都要換掉)
- API 金鑰、服務帳號、個人存取權杖
- 實體門禁卡與機房存取
此外還要安排資料與信箱交接:郵件轉寄或封存、雲端硬碟與檔案的擁有權移轉,避免「人走了,重要資料也跟著被鎖在個人帳號裡」。同樣建議用一份離職撤銷檢核表逐項勾稽。
五、五個最常見的破口
| 破口 | 說明 |
|---|---|
| 殭屍/孤兒帳號 | 已無對應在職者卻仍可登入的帳號,無人監控、最易被利用 |
| 共用帳號 | 多人共用一組帳密,無法追責、離職時也難以乾淨撤除 |
| 外包/廠商帳號 | 專案結束沒設到期日,長期遺留在系統中 |
| 影子 IT 的 SaaS | 部門私自申辦、IT 不知情的雲端服務帳號,撤無可撤 |
| 純手動流程 | 全靠人記憶與 Email 通知,規模一大必然出現遺漏 |
六、如何系統化:從「靠記憶」到「靠流程」
帳號生命週期管理的成熟度,取決於它有多依賴「人記得」。越自動化、越不靠人腦,越可靠:
- HR 與身份系統串接:以 HR 的到職/異動/離職事件,自動觸發帳號的開通與撤銷(automated provisioning / deprovisioning),讓「人員狀態」成為權限的單一事實來源。
- SSO 收斂入口:把分散的系統登入收斂到單一登入,撤銷一處即斷多處,大幅降低「漏關某個系統」的機率。
- 身份治理(IGA)與定期審查:建立權限申請、核准、再認證的制度化流程,並保留完整稽核軌跡;稽核日誌可整合 SIEM 集中監控,及早發現異常帳號行為。
- 定期帳號盤點:即使尚未導入自動化,至少要定期比對「在職名單 vs 系統帳號」,把對不上的帳號揪出來處理。
七、帳號治理成熟度自評
不確定公司現在的帳號管理算好還是不好?用下面這個四級量表快速自評——多數中小企業落在 L0 到 L1 之間:
| 等級 | 特徵 | 風險水準 |
|---|---|---|
| L0 純手動 | 全靠 Email 通知與「人記得」,沒有標準清單 | 高——規模一大必有遺漏 |
| L1 有清單 | 到職/離職都有檢核表逐項勾稽 | 中——仍仰賴人確實執行 |
| L2 定期盤點 | 季度權限再認證 + 在職名單對帳系統帳號 | 中低——能揪出多數殭屍帳號 |
| L3 自動化 | HR 異動自動觸發開通/撤銷、SSO 收斂、IGA 治理 | 低——權限隨人員狀態即時同步 |
往上爬一級不需要一步到位:先把 L1 的兩份檢核表做扎實,再加上 L2 的定期盤點,就能消除絕大多數「沒人記得關」的破口;行有餘力再走向 L3 的自動化。
結語:把「關帳號」變成不會忘的流程
帳號生命週期管理不需要昂貴的工具就能起步——它更像是一種紀律。先把離職撤銷檢核表與定期帳號盤點這兩件低成本的事做扎實,再逐步把 HR 異動與帳號流程串接、收斂登入入口,成熟度就會一步步提升。
凱茂資訊在協助企業導入身份與存取管理(IAM)、SSO 與帳號治理流程上有豐富實務經驗,也提供定期的帳號與權限稽核服務。如果你剛剛的成熟度自評落在 L0–L1、或不確定公司現在到底有多少「沒人記得關」的帳號,歡迎與我們聊聊——從一次帳號盤點開始,把潛藏的破口攤在陽光下。