Tweet

Pocket

いろんな情報をITで共有するようになるとそれだけIDやパスワードも増えます。私も「いろんなパスワードを覚えるのはめんどくさいよねぇ」と思っていたので、kintoneで複数システムのアカウント情報を一括管理するアプリを作りました。その説明をしているとこんな質問が・・・

なんでパスワードをいくつも覚えとかなあかんの？
ぜんぶ同じじゃアカンの？

「パスワードは全部変えて！」って言うのは簡単だけど、それを個人で管理するのは大変ですよね。
そもそもなんでパスワードが必要なのか、その意味が分かってないと確かにめんどくさいだけですよね。

守らなければならない情報がそこにあるから

なぜパスワードが必要なのか、なぜセキュリティが必要なのか。

例えば人事部門は個人情報の宝庫。他人には知られたくない情報がたくさん。給料を他人に見られて嬉しい人っています？他にも会社の中には生年月日や家族構成といった個人情報、競合他社には知られたくないノウハウなどがたくさんあります。ひょっとしたら営業のお客さんとのやり取りも、機密事項というほどではなくてもあまり見られたくないものかもしれません。そういうのは社内の人間からすれば「こんな情報、他の人が見ても役に立たんやろ」って思いがちですが、社外にはその情報が喉から手が出るほど欲しい人もいるもので。

そんな情報を守るために必要な手段の一つが、システムにアクセスするためのパスワードです。

では情報が洩れる可能性のある場面を想像してみましょう。

一番大きなリスクは人

例えば。いろんな理由で社員はいつか退職します。円満であろうがなかろうが、会社から離れた人が会社のシステムにアクセスできるパスワードを知っていたら・・・そして退職してもそのパスワードがいつまでも生きていたら・・・情報漏えいのリスクは急に上がります。そのパスワードを変えればいい？同じパスワードを使いまわしていたら、全部一度に変えないといけません。これはなかなか大変ですね・・・。

さらにわかりやすいパスワード、例えば社名をもじったり生年月日だったりすると・・・。悪気はなくても社外の人に何らかの拍子にパスワードが知られたら簡単に情報はダダ洩れになります。

スマホやPCの盗難、紛失も

スマホやPCにパスワードを全部記憶させてませんか？これって便利なんですけど、そのスマホやパソコンが悪意を持つ第三者の手に渡ったら・・・

例えばスマホのセキュリティロックかけてますか？

『スマホを落としただけなのに』という映画が2018年に公開されました。

ここでターゲットになった人のスマホは、容易に想像のつく生年月日がパスワード。そこから個人情報がダダ洩れで、弱みを握られ、犯罪に巻き込まれ・・・。

もし狙われたのが企業なら、その情報と引き換えに金銭を要求されたり、情報そのものをばらまくことで企業の信用を失墜させたり。ひとつの情報は大した内容ではなくても、「漏えいした事実」が企業を窮地に陥れることもあります。

パスワードの意味を考えよう

使う人、使うシステムでパスワードを個別に設定しておけば、万が一の時の被害を最小限に抑えられたり、被害に遭ってもそのあとの調査で進入ルートやセキュリティの穴を見つけやすくなり対策が打ちやすくなる効果などもあります。

ザ・ゴールの3作目『チェンジ・ザ・ルール』でも「ルールを変えろ」と書かれています。システムに多大な投資をしても、それを使う人が目的やメリット、そしてリスクを理解していないとITの真価は発揮できません。可視化できる、見える化できるということはITの大きなメリットですが、その裏にはリスクもある。そしてセキュリティの意識を持てば防げるリスクがあり、メリットを最大限に活用できるんです。そのひとつがパスワード。

セキュリティ教育をしリスクを減らしながらITの力を企業の力に加えていくのか、

セキュリティ対策が面倒だから情報共有は紙ベースのままでいくのか。

ITを活用してDXを進めていくのであれば、セキュリティの教育は必須です。

一番やっちゃいかんのは、IT化は進めるけれどセキュリティ対策は面倒だからすべて同じパスワードにする、みたいな中途半端な対策。
これ、パスワードの意味がないですからね。

2段階認証や1Passwordのようなパスワード管理ツールも、はじめはめんどくさいですが慣れればめちゃくちゃ便利。

IT化、デジタル化のリスクも理解したうえでうまく活用していけば、DXは着実に進みますよ。

Tweet

Pocket