COLMUN
コラム / IT化経営羅針盤
IT化経営羅針盤177 業務用クラウドとスマートフォンの怖い関係
2023.05.09
先日ドイツのハノーバーメッセに視察に行ったことは前回のコラムでも触れましたが、その視察の際に、会場である企業のソリューション説明を聞いていて、ふとあることに気が付き、急に背筋が寒くなる思いをしました。
世の中「クラウドファースト」なので、さまざまな業務アプリケーションがクラウドサービス化されており、中小企業の多くが使っています。月あたりの利用料が低く抑えられているので、今後も利用は増加していきますし、当社のお客様にも利用を積極的にお勧めしています。ところがそこにちょっと危険なワナがあるのです。
一般的に、インターネットブラウザで使えるクラウドサービスを中小企業が導入した場合、ネットワークの制限をかけずに使っているケースが多いと思います。本来であれば、会社内など決められたネットワーク環境においてのみ利用でき、ログイン認証もIDとパスワードだけではなく、さまざまな安全対策を施して、外部の第三者が使えないようにするのが鉄則です。しかし、専門のネットワーク管理者を置けない規模の中小企業の場合は、これらの対策を行うためのハードルはかなり高いものです。当社でクラウドをお勧めする際には、最低限のセキュリティ対策を推奨していますが、多くの企業がそこまで手が回らないのが実際のところでしょう。
そのように、
・IDとパスワードでログインできる状態のクラウドを
・ルールの決定と徹底なく野放図に社員に使わせる
といった場合、個人のPCやスマートフォンで使う人が出てくることは必然です。当然それはクラウド上のデータを個人のデバイスに保管されたりする危険性があるので、禁止すべき行為なのですが、やってみると非常に便利なので社長を含めてそれをやってしまうケースが後を絶ちません。
そのような場面を見たとき、「IDとパスワードが漏洩したらどうするのか?」といった指摘を投げかけるのですが、たいてい「注意して使うようにしています」という声が返ってきます。「善良な社員がきちんと責任をもって管理しているのであれば、まぁ大丈夫だろう」と目をつぶりがちなのですが、ここにちょっとしたワナがあります。それが、
パソコンのブラウザーやスマホが標準で装備しているパスワード管理機能にIDとパスワードが記録されてしまう
というリスクです。これらの機能は、たいてい顔や指紋などの生体認証機能を持っているので、本人でないと記録されているログイン情報を引き出すことはできません。しかし・・・生体認証も所詮は端末パスワードの代わりになっているだけなので、その端末パスワードが容易に推測されてしまうものだったり、簡単に漏洩してしまうようなものである場合、まったく防御することができなくなってしまいます。しかも、これらのデバイスは個人所有の場合が多いので、会社は全く管理していない・・・。要するに・・・
会社の重要な情報資産へのログイン情報が個人の端末に知らないうちに保管され、その保管状態が甘すぎる
という状態になってしまうのです。しかも、かなり簡単に・・・です。
休みの日に会社から電話がかかってきて、その対応をするために仕方なく手持ちのスマートフォンを使って会社クラウドにログインした。普段使わないようにしていて、アクセスしたのはその1回限りだ。といった場合でも容赦なくパスワード管理機能は作動します。一応ログイン情報を保管するかしないかの選択ができるようにはなっていますが、それを気にする人は少数派でしょう。OKを押してしまえば、ログイン情報は端末の中に保管されてしまいます。その人が消すまでは、そのまま残ってしまうのです。
冒頭記述したハノーバーメッセでのソリューションは、企業用のパスワード管理ソフトだったのですが、担当者と少し話をしているときに、ふと今回解説したシーンが頭に浮かんできてしまいました。管理する前に、そもそも個人用のデバイスを使わせている場合、このようなソリューションがあっても役に立ちません。スマートフォンが標準で持っているパスワード管理機能は、利用者がきちんと意識して使っていない場合、かえって危険な機能になりかねないのです。
個人用のデバイスを社用で使うことのリスクは、ほかにもたくさんあります。「便利だから」という理由はよくわかりますが、使うのであればそれなりのリスク対策をきちんとやらないと、とても怖いことになる、ということを承知の上で、とるべき対策をきちんと計画的に導入することを強くお勧めします。
無料メール講座登録
経営者様向けのIT化ヒントが詰まった無料メール講座や代表コラム「IT化経営羅針盤」、各種ご案内をお届けします。
資料請求
パンフレット、コンサルに関する資料のご請求は下記フォームからお願いします。
CONTACT
お問い合わせ
(TEL: 050-8892-1040)