Access の業務利用には、現代のセキュリティ要件・法令対応・テレワーク環境の観点で看過できないリスクが多い。Access 2021 の延長サポートが 2026 年 10 月に終了することで、これらのリスクはさらに増大する。本稿は、Access のセキュリティリスクの実態と、安全な脱却ガイドを整理する。
| 法令・規制 |
Access での対応の限界 |
| 個人情報保護法 |
監査ログ不在で「適切な管理」を説明困難 |
| マイナンバー管理 |
厳格な権限管理・暗号化要件を満たせない |
| 金融分野ガイドライン(FISC) |
SOC 2・ISMS 認証取得が困難 |
| 医療情報安全管理ガイドライン |
3 省 2 ガイドライン非準拠 |
| SOX / J-SOX |
SoD(権限分離)・監査証跡の確保が困難 |
| GDPR(EU 個人データ) |
データ削除権・侵害通知の実装が困難 |
| 電子帳簿保存法 |
タイムスタンプ・検索要件に技術的制約 |
3. テレワーク時代の Access の限界
- VPN 経由の性能劣化:自宅から VPN で社内ファイルサーバ上の Access にアクセスすると、操作レスポンスが極端に遅い。
- クラウドサーバへの直接アクセス不可:Access は本来クラウド対応設計ではない。Azure SQL バックエンド化で対応するが、フロントの Access はデスクトップアプリのまま。
- モバイル・タブレット対応不可:iPhone・iPad・Android では Access が動かない。
- セキュアなリモートアクセス:在宅勤務での Access ファイル取扱が、セキュリティポリシーに合わないことがある。
4. Access 2021 サポート終了(2026 年 10 月)の影響
- セキュリティパッチの提供停止:脆弱性が発見されても修正されない。
- 新規機能・互換性向上の停止:Microsoft 365・Windows の進化に追従しない。
- ベンダーサポートの停止:問題発生時に Microsoft 公式サポートを受けられない。
- 監査・コンプライアンスでの指摘リスク:「サポート切れソフトウェアの業務利用」は、内部監査・外部監査で指摘対象。
5. 安全な脱却の進め方
- Phase 1(1〜2 ヶ月:リスク評価):Access ファイルの全件棚卸し。業務影響度・データ機密性・利用ユーザ数で分類。リスクの高いファイルから優先対応。
- Phase 2(2〜4 ヶ月:暫定対策):データバックエンドの SQL Server / Azure SQL 化。監査ログ・暗号化を Azure SQL 側で実装。Access フロントは継続使用。
- Phase 3(4〜12 ヶ月:本格移行):kintone・Power Apps・Salesforce への業務移行。データ・フォーム・VBA の再構築。
- Phase 4(12〜18 ヶ月:完全脱却):すべての Access ファイルを廃止。データの完全削除。
6. 移行先のセキュリティ要件チェック
移行先のクラウドサービスを選定する際、必ず確認するセキュリティ機能。
- SOC 2 Type 2 / ISO 27001 認証:第三者によるセキュリティ評価。
- SSO 統合:Microsoft Entra ID・Okta・Google Workspace との SAML / OIDC 連携。
- 監査ログ:操作ログの自動記録、エクスポート可能、改ざん防止。
- 権限管理:ロールベースアクセス制御、フィールド単位権限、レコード単位権限。
- 暗号化:保管時暗号化(at-rest)、通信時暗号化(in-transit)、BYOK(Bring Your Own Key)対応。
- バックアップ・BCP:自動バックアップ、データ保管場所(国内/海外)、災害時の復旧 SLA。
- 個人情報保護法対応:日本市場特化の対応状況。
- 業界別認証:医療なら 3 省 2 ガイドライン、金融なら FISC、自治体なら IaaS-PaaS-SaaS 認定。
図:Access セキュリティリスクの全体像(ファイルベース/VBA脆弱性/権限管理/法令対応)
Access セキュリティリスクの全体像と本質的な弱さ
Access は1990年代に「個人〜部門の小規模データベース」として設計されたツールです。当時のセキュリティ要件と、現代の情報漏洩リスク・法令対応要件・テレワーク環境では、根本的なギャップが存在します。まずはリスクの全体像を整理します。
5つの主要リスクカテゴリ
- ファイル流出リスク:.accdb ファイル単体で全データを保有するため、USB メモリ・メール添付・OneDrive 経由で物理的に持ち出される可能性
- VBA マルウェア脆弱性:VBA マクロを含む Access ファイルがマルウェアの感染経路になり、開いただけで悪意あるコードが実行されるリスク
- 権限管理の限界:Access のユーザーレベルセキュリティ(ULS)は Access 2007以降廃止。ファイル共有のアクセス権でしか制御できない
- ログ・監査の不在:誰がいつどのデータを参照・変更したかのログを取得する仕組みが標準で存在しない
- 法令・規制対応の困難:個人情報保護法、ISMS、SOC2、業界規制(医療・金融・自治体)で求められる要件を満たすのが極めて困難
具体的なセキュリティリスクと実際の事故事例
Access 運用で実際に発生したインシデント事例から、リスクの具体性を理解します。
事例1:USB メモリ経由の顧客データ流出
営業担当者が「自宅で作業する」と Access ファイルを USB メモリに保存して持ち帰り、その USB を紛失。顧客5,000人分の個人情報が漏洩した事案。個人情報保護委員会への報告・対象顧客への通知・記者会見対応で総額数千万円の対応費用が発生。
教訓:ファイル単位で持ち出せる構造そのものがリスク。「持ち出し禁止」のルールだけでは防げない
事例2:VBA マルウェア感染による全社業務停止
取引先から送られた Access ファイル(実は改ざんされたもの)を開いた際、VBA で書かれたマルウェアが起動し、社内ネットワーク全体に感染。3日間の業務停止と、復旧コスト数百万円が発生。
教訓:Access の「マクロを有効にする」のワンクリックが、マルウェア実行への扉
事例3:退職者による不正アクセス
退職した社員が、退職前に Access ファイルのコピーを持ち出していた。退職後3ヶ月、競合他社で類似サービス立ち上げの際に、過去の顧客リストを使った疑い。法的措置に発展。
教訓:Access はファイルアクセスログがないため、誰が何を持ち出したかの追跡が極めて困難
事例4:マルチユーザー運用での権限漏洩
「営業用 Access」を全社員で共有していた組織で、本来は部長以上だけが見られるべき「給与情報」テーブルに、新入社員がアクセスできてしまった。フォーム経由では制限していたものの、Access の「テーブル直接表示」で閲覧可能だった。
教訓:Access のフォームレベル制御は、テーブル直接アクセスで簡単に回避できる
事例5:ランサムウェアによるファイル暗号化
共有フォルダ上の Access ファイルが、PC1台で発生したランサムウェア感染で暗号化された。日次バックアップを取っていなかったため、過去5年分のデータが完全消失。
教訓:Access はバックアップ運用が属人化しがちで、災害復旧体制が脆弱
法令・規制対応で Access が抱える問題
2022年の個人情報保護法改正以降、企業の情報セキュリティ要件は大幅に厳格化されました。Access の現状ではこれらに対応が困難な領域があります。
個人情報保護法(2022年改正以降)への対応
- 個人情報の取扱記録:誰がいつどの個人情報にアクセスしたかの記録保持が要件。Access には標準的なアクセスログ機能なし
- 漏洩時の報告義務:個人情報漏洩時、個人情報保護委員会への報告(速報おおむね3〜5日以内・確報30日以内、不正アクセス等は60日以内)と本人通知が必要。Access ではどの情報が漏洩したかの特定が困難
- 本人開示請求への対応:「自分のデータを全部削除して」という要求への対応が、Access の手動オペレーションだと数日かかる
- 越境データ移転:海外子会社・委託先とのデータ共有を Access ファイルで行う場合、本人同意・契約締結の管理が極めて困難
ISMS(ISO 27001)認証への対応
- アクセス制御(A.9):「最小権限の原則」に基づくアクセス権設定が要件。Access のファイル共有ベースの制御では基準を満たせない
- ログと監視(A.12.4):イベントログ・特権操作ログ・障害ログの取得保管が必須。Access には標準機能なし
- 暗号化(A.10):保管時暗号化・通信時暗号化が必須。Access のファイルパスワード機能はISMS監査では認められないレベル
- 事業継続管理(A.17):災害時のシステム復旧計画と訓練が必要。Access のバックアップ運用は属人化リスクが高い
業界別の追加要件
- 医療業界:医療情報システムの安全管理に関するガイドライン(厚労省)・3省2ガイドラインへの準拠
- 金融業界:FISC 安全対策基準への準拠(ファイルベースDBは基本的に不適合)
- 自治体:地方公共団体情報セキュリティ対策ガイドライン・LGWAN 接続環境での Access 利用制限
- 上場準備企業:J-SOX 内部統制で求められる ITGC(IT全般統制)でファイルベースDBは指摘対象
テレワーク時代における Access の致命的な制約
コロナ禍以降の在宅勤務・ハイブリッド勤務環境で、ファイルベースDB である Access には致命的な制約が顕在化しました。
制約1:VPN 経由のアクセスでは実用に耐えない
Access はネットワーク経由で .accdb ファイルの各ページを読み書きするため、VPN 経由で社外から共有フォルダに接続すると、レイテンシで操作が極端に遅くなります。「フォームを開くのに5分」のような事象が日常的。
典型的なワークアラウンド:リモートデスクトップで社内PCに接続して操作 → ライセンスコスト・運用負荷が大幅増
制約2:モバイル端末からのアクセス不可
Access はモバイル対応がほぼなく、スマホ・タブレットからの利用は不可能。営業現場・現場作業員などのモバイル要件が満たせない。
制約3:MFA(多要素認証)非対応
Access はファイル共有のWindows認証ベースのため、SaaSのようなMFA(SMS・認証アプリ)を組み込めない。これは2026年時点のセキュリティ基準では深刻な欠陥。
制約4:BYOD(個人端末利用)での運用困難
「個人のPC・スマホで業務利用」は、Access ファイルが個人端末に保存されるリスクで原則禁止に。BYOD推進企業では Access 利用継続が事実上不可能。
Access の継続利用での最低限のセキュリティ対策
「すぐには移行できないが、Access の利用を続けたい」場合の、最低限実施すべきセキュリティ対策を整理します。
必須対策1:ファイル暗号化とアクセス制御
- BitLocker による全ディスク暗号化:Access ファイルを保存するすべての PC(サーバー含む)に BitLocker 有効化
- Access ファイルのパスワード設定:「データベースの暗号化」機能で AES-128 暗号化を有効化(ただし強度は限定的)
- 共有フォルダの NTFS 権限:「業務担当者だけがアクセス可」のグループポリシー設定
- Microsoft 365 の DLP(Data Loss Prevention):Access ファイルが社外に流出する経路(メール・OneDrive・USB)を監視・ブロック
必須対策2:VBA マクロのセキュリティ強化
- マクロ実行の制限:トラステッドロケーションのフォルダのみマクロ実行可とする設定
- VBA コードのデジタル署名:自社のコードに署名し、署名なしマクロは実行を拒否
- 外部からの .accdb 受信時はマクロ無効で開く:取引先からの Access ファイルは原則受信禁止、必要時はサンドボックスで実行
必須対策3:ログ取得の暫定実装
標準機能では不可能ですが、VBA で簡易ログを実装することで、最低限の監査要件に対応できます。
- Form_Open イベントで操作ログ記録:いつ誰がどのフォームを開いたかを別テーブルに記録
- BeforeUpdate イベントで変更ログ記録:レコード変更時の旧値・新値・変更者・タイムスタンプを記録
- ログテーブルの読み取り専用化:管理者のみが参照・削除できる権限設定
必須対策4:バックアップと災害対策
- 毎晩の自動バックアップ:タスクスケジューラ + xcopy で社内別サーバー + クラウドストレージへの二重バックアップ
- 世代管理:7日間 / 30日間 / 1年間の3階層で世代保管
- 復旧訓練:年1回のリストア訓練を実施し、復旧手順を最新化
段階的脱却ロードマップ:6ヶ月〜18ヶ月でセキュア環境へ
「移行するしかないが、何から始めれば」という方向け、現実的な6〜18ヶ月のロードマップ。
フェーズ1(〜2ヶ月):可視化と応急処置
- 全 Access ファイルの棚卸し(利用部門・利用者・データ機密度・利用頻度)
- 機密度の高い順に優先順位付け
- BitLocker・パスワード設定など最低限のセキュリティ対策の即時実装
- マルウェア対策ソフトの強化と教育
フェーズ2(2〜6ヶ月):暫定強化
- 機密度高 Access ファイルの SQL Server / Azure SQL への外出し
- VBA コード署名導入
- 簡易ログ機能の実装
- 従業員向けセキュリティ研修
フェーズ3(6〜18ヶ月):段階移行
- 機密度高ファイルから順に、kintone / Salesforce / Power Apps への移行
- 移行先での権限設計・ログ取得・暗号化の標準化
- 移行完了ファイルから Access 廃止
移行先のセキュリティ要件チェックリスト
Access から移行する SaaS / クラウドサービスを選ぶ際の、セキュリティ要件チェック項目です。
| 項目 |
kintone |
Salesforce |
Power Apps |
確認方法 |
| ISMS 認証 |
○ ISO27001 |
○ ISO27001 |
○ ISO27001 |
各社公式 |
| SOC2 認証 |
○ Type II |
○ Type II |
○ Type II |
同上 |
| 国内データセンター |
○ |
選択可 |
選択可 |
導入時設定 |
| MFA 対応 |
○ |
○ |
○ |
標準機能 |
| IP制限 |
○ |
○ Enterprise以上 |
○ |
標準機能 |
| 監査ログ |
○ |
○ |
○ |
標準機能 |
| 暗号化(保管時) |
○ AES-256 |
○ AES-256 |
○ AES-256 |
標準 |
| 暗号化(通信時) |
○ TLS 1.2+ |
○ TLS 1.2+ |
○ TLS 1.2+ |
標準 |
| 個人情報保護法対応 |
○ |
○ |
○ |
運用次第 |
| FISC(金融)対応 |
— |
○ Financial Services Cloud |
— |
業界要件 |
| 医療3省2ガイドライン |
○ パートナー次第 |
○ Health Cloud |
○ |
業界要件 |
関連ガイド・クラスター
Access移行の進め方に迷ったら ― 無料の「移行診断・セカンドオピニオン」
現行 Access の棚卸しから、kintone・Power Apps・Salesforce など移行先の選定、VBA資産の引き継ぎ、IT導入補助金の活用可否までを実装視点で無料診断します。すでにベンダーから提案を受けている場合のセカンドオピニオン(その見積り・移行方式が妥当か)にも対応します。診断のみのご利用も歓迎です。
無料で移行診断・相談する →
関連ピラー
執筆・監修
Koki Soga
Aurant Technologies アーキテクト・コンサルタント
グループウェア・コラボツール導入
Google Workspace・Microsoft 365の導入から社員研修・定着まで一貫対応。情報共有の分断を解消し、テレワークに対応した働き方を実現します。
AT
aurant technologies 編集
上場企業からスタートアップまで、数多くのデータ分析基盤構築・AI導入プロジェクトを主導。単なる技術提供にとどまらず、MA/CRM(Salesforce, Hubspot, kintone, LINE)導入によるマーケティング最適化やバックオフィス業務の自動化など、常に「事業数値(売上・利益)」に直結する改善実績多数。