本日はセキュリティの話をしたいと思う。
働き方改革の為のITを検討し始めると、最後はここに行き着く。
ウェイン・グレツキー※1が言う、
「パックの先」
※1 ウェイン・グレツキーはNHL(ナショナルホッケーリーグ)の元ホッケー選手で、数々の記録を打ち立てた人である。あるインタビューで「どうしてあなたは体も大きくないのにこれだけの記録を作ることができたのですか?」という問いかけに対して、かれは、"I skate to where the pack will be, not where it has been."と答えたと言います。米IT業界のCEO達は、この言葉を流用して、この先ITはどちらに向かうのか?を考えなければならないと言います。
であるかもしれない。
働き方改革を進める企業は、様々な形でコミュニケーションの効率化を進める。円滑にコミュニケーションを進めるには、いつでもどこでも、情報が取得が出来るようにすることが重要である。
情報を簡単に交換できる場所があれば便利である。全員が共有できていなければならないのに、できていないときは多々ある。
働き方改革ではこれを無くしたい。そのためには、普段あまりオフィスに来ない地方周りの営業などに、情報を伝える為にクラウドを使う。
もちろん、他の方法もあるが、クラウドを使うのが1番手取り早い。
「このコミュニケーションの基盤には、どれだけのストレージが必要か見積もらなければならない」
と考えている間に時は立つ。働き方改革の目的が生産性向上であるのであれば、その時間を短縮したい。クラウドであれば短縮ができる。
そこで、大きな問題になるのがセキュリティである。
「うちの会社はクラウドはNGなんです」
よく聞く言葉である。それはセキュリティが心配だからである。セキュリティについて心配がなければ、そんなことにはならないハズだ。
現に、そう言う会社でも、G SuiteやOffice365は使ってるケースがある。
これは、
「これらのシステムを提供する会社がクラウドレベルのセキュリティを確保しているから」
である。今こそ情報システム部門はクラウドレベルのセキュリティをしっかり理解する必要がある。
最近パスワードの入力や変更に関する考え方が変化しているのをご存知だろうか?
Gmailのログイン時に、これまでは
「ログイン状態を保存する」
と言うオプションがあったが、最近なくなっている。これをオンにしておくと、1ヶ月程の間、パスワードを入力しなくても利用できる。Gmailは、「ログイン状態の保存」をオプションではなく、デフォルトとしたのである。
おそらく、
「とんでもない」
と言い出すセキュリティコンサル会社があるかもしれない。しかし、なんの根拠もない批判である。Googleがこのようにしたのには理由がある。
人間はパスワードを覚えるのが苦手
なのである。だから、パスワードをメモする。
メモは危険である。誰かが見る。そして、普通にどこかの端末からログインして覗いてみる。この場合、普通にログインされる為、パスワードを盗まれたことに気づかない。
悪いことを考える人達は、こうしたIDとパスワード集めてリストにして販売している。これはリスト型攻撃と言われている。
こう言う行為を防ぐ為に、
① なるべくIDとパスワードは1つにして、シングルサインオンにする
② 2段階認証を使う
の2つが有効だ。
① については、シングルサインオンはユーザの利便性だけではない。
人間の
「パスワードを覚えられない」
を解決する。いくら覚えられない人でも、IDとパスワードが1つであれば、覚えることができる。つまり、シングルサインオンはセキュリティの向上につながる。
②の2段階認証は、初めてログインする端末からのアクセスには、ワンタイムパスワードを要求する。
「不便である」
と言うユーザの声もあるが、それ以上にリスト型攻撃は危険なのである。ワンタイムパスワードが必要となるのは、1度だけである。その後は、安全な端末であることが記録される為、ワンタイムパスワードは要求してこない。不便なように思うが、パスワードが盗まれた時の不便さに比べるとなんて事はない。
システム部門は2段階認証の重要性をユーザに伝えるべき
である。
セキュリティ対策には様々なことをしなければならないが、先ずは、パスワードの管理はユーザがしっかりとやらなければならないことを伝えよう。