オンラインで優れたコンサルティングを活用する!

業務用クラウドとスマートフォンの怖い関係

鈴木純二
SPECIAL

顧客接点強化による成長型IT導入コンサルタント

ベルケンシステムズ株式会社

代表取締役 

顧客接点の強化を軸に、業績に直結するIT導入を指導するスペシャリスト。世に無駄なIT投資が横行するのと一線を画し、顧客の利便性向上、新規取引先、深耕開拓、利用促進…などを主眼に置いた、実益のIT活用と投資戦略を、各会社ごとに組み立てることで定評。

鈴木純二

先日ドイツのハノーバーメッセに視察に行ったことは前回のコラムでも触れましたが、その視察の際に、会場である企業のソリューション説明を聞いていて、ふとあることに気が付き、急に背筋が寒くなる思いをしました。

世の中「クラウドファースト」なので、さまざまな業務アプリケーションがクラウドサービス化されており、中小企業の多くが使っています。月あたりの利用料が低く抑えられているので、今後も利用は増加していきますし、当社のお客様にも利用を積極的にお勧めしています。ところがそこにちょっと危険なワナがあるのです。

一般的に、インターネットブラウザで使えるクラウドサービスを中小企業が導入した場合、ネットワークの制限をかけずに使っているケースが多いと思います。本来であれば、会社内など決められたネットワーク環境においてのみ利用でき、ログイン認証もIDとパスワードだけではなく、さまざまな安全対策を施して、外部の第三者が使えないようにするのが鉄則です。

しかし、専門のネットワーク管理者を置けない規模の中小企業の場合は、これらの対策を行うためのハードルはかなり高いものです。当社でクラウドをお勧めする際には、最低限のセキュリティ対策を推奨していますが、多くの企業がそこまで手が回らないのが実際のところでしょう。

そのように、

・IDとパスワードでログインできる状態のクラウドを

・ルールの決定と徹底なく野放図に社員に使わせる

といった場合、個人のPCやスマートフォンで使う人が出てくることは必然です。当然それはクラウド上のデータを個人のデバイスに保管されたりする危険性があるので、禁止すべき行為なのですが、やってみると非常に便利なので社長を含めてそれをやってしまうケースが後を絶ちません。

そのような場面を見たとき、「IDとパスワードが漏洩したらどうするのか?」といった指摘を投げかけるのですが、たいてい「注意して使うようにしています」という声が返ってきます。「善良な社員がきちんと責任をもって管理しているのであれば、まぁ大丈夫だろう」と目をつぶりがちなのですが、ここにちょっとしたワナがあります。それが、

パソコンのブラウザーやスマホが標準で装備しているパスワード管理機能にIDとパスワードが記録されてしまう

というリスクです。これらの機能は、たいてい顔や指紋などの生体認証機能を持っているので、本人でないと記録されているログイン情報を引き出すことはできません。しかし・・・生体認証も所詮は端末パスワードの代わりになっているだけなので、その端末パスワードが容易に推測されてしまうものだったり、簡単に漏洩してしまうようなものである場合、まったく防御することができなくなってしまいます。しかも、これらのデバイスは個人所有の場合が多いので、会社は全く管理していない・・・。要するに・・・

会社の重要な情報資産へのログイン情報が個人の端末に知らないうちに保管され、その保管状態が甘すぎる

という状態になってしまうのです。しかも、かなり簡単に・・・です。

休みの日に会社から電話がかかってきて、その対応をするために仕方なく手持ちのスマートフォンを使って会社クラウドにログインした。普段使わないようにしていて、アクセスしたのはその1回限りだ。といった場合でも容赦なくパスワード管理機能は作動します。一応ログイン情報を保管するかしないかの選択ができるようにはなっていますが、それを気にする人は少数派でしょう。OKを押してしまえば、ログイン情報は端末の中に保管されてしまいます。その人が消すまでは、そのまま残ってしまうのです。

冒頭記述したハノーバーメッセでのソリューションは、企業用のパスワード管理ソフトだったのですが、担当者と少し話をしているときに、ふと今回解説したシーンが頭に浮かんできてしまいました。管理する前に、そもそも個人用のデバイスを使わせている場合、このようなソリューションがあっても役に立ちません。スマートフォンが標準で持っているパスワード管理機能は、利用者がきちんと意識して使っていない場合、かえって危険な機能になりかねないのです。

個人用のデバイスを社用で使うことのリスクは、ほかにもたくさんあります。「便利だから」という理由はよくわかりますが、使うのであればそれなりのリスク対策をきちんとやらないと、とても怖いことになる、ということを承知の上で、とるべき対策をきちんと計画的に導入することを強くお勧めします。

 

コラムの更新をお知らせします!

コラムはいかがでしたか? 下記よりメールアドレスをご登録いただくと、更新時にご案内をお届けします(解除は随時可能です)。ぜひ、ご登録ください。