アルファルファモザイクというサイトで『IDとパスワード知ってたら誰でもログインできるって危険なんじゃないの?』というエントリーを見つけました。
どこかで読んだような気もする(いわゆるコピペ)のですが、クライアントを含めケーススタディとして取り上げることができるのではないかと。このエントリーだけだと前提条件が少なすぎて議論がとんでもない方向に飛んでしまいますが。
前書きとして例えば、「システム開発部長であるにもかかわらず、何も理解できていない部長」とあれば、ダメな部長の話になります。ところが「長年システム開発に従事しており、部内で認められている部長」であれば、協力会社社員のコミュニケーション能力の話になります(まあ、進捗会議でそんな話を振る部長にも問題がありますけど)。
セキュリティにのみターゲットを絞ると
・部長が言っているIDとパスワードだけでは問題がある
ことは判らないではありません。もっと対策を練る必要があるのは間違いない。問題はどこまでセキュリティを高めるために費用を掛けることができるかになるかと。この費用はシステム構築費用だけではなく、社員のリテラシーやセキュリティ意識を高めるための費用も含むことになります。
経営陣や管理職は、コストを抑えつつもシステム側にセキュリティを高めるように求めることが多いような気がします。そりゃ、システム構築費用が安くなればなるほどありがたいと思うのは当然です。でもいくらシステムにセキュリティ対策を施しても、操作する側である「人の意識」を変えない限りはリスクは低くなりません。
パスワードを意味のない文字列にしたところで、IDとパスワードを書いた付箋をディスプレイに貼ってあれば意味がない。社員に「そんなものは貼るな。守れないやつは解雇」ぐらいは言っておかないと。セキュリティの一番大きな穴は実は「人」なんです。
話を元に戻して、ケーススタディを1つ。
A社のシステム開発進捗会議。A社システム開発部長の発言。ちなみに前回の会議では
「上のほうから、
まだ開発が終わらないのか、
費用が高すぎるんじゃないか、
セキュリティをしっかりしろと言われてるんだよ。」
と言っていた。
「君たちさ~、ログイン画面でユーザ認証って言うけど、
IDとパスワード知ってたら誰でもログインできるって事だよね?
それってどうなの?危険なんじゃないの?」
多分、元のエントリーは部長の無能さを笑う話なんじゃないかなと思います。
「今そんな話をここでするか!?」と内心思っていて、それを協力会社の社員に切り返されたと。
