【社長ブログ】ID、パスワードを仲間うちで共有して、効率的に使おう・・・の誤り
JOPS社長ブログ
cooperated by several associates
第8話 意外と知られていない情報セキュリティの常識
第2回 ID、パスワードを仲間うちで共有して、効率的に使おう・・・の誤り
「JOPSが、各種セキュリティ対策機能を搭載したメール送信用ソフトウェアを導入しようとした時、私は少々迷いました。」と前回書きました。
その理由を書く前に、このメールシステムにおける添付ファイルのセキュリティ確保方法について説明します。
- 送信者が添付ファイル付きのメールを発信しても、ファイルは直接メールに添付されません。
- その代わりにメールの冒頭部分に、添付ファイルがついている旨の数行が書き加えられ、その数行の中には添付ファイルを得るためのURL(添付ファイル取得用のページへのリンク)が付けられています。
- メールの受取人はそのURLをクリックすると、添付ファイルダウンロード用のページが開き、そこに指示されている操作をすると、自分のメールアドレスにワンタイムパスワードが届きます。そしてそのワンタイムパスワードを使うと、添付ファイルを入手することができるわけです。
- ここで、もし、メールが盗み読まれたとしても、正しい受信者アドレスにしか添付ファイルが届かない仕組みになっているため、添付ファイルを盗み読まれることはないのです。
しかし、私がこのソフトを導入する判断に迷ったのは、仮に私がそういうURLつきのメールを受信したとしたら、私自身は簡単にはクリックしないからなのです。クリックしたとたんに画面の様子が突然変わって、「あなたのパソコンはハッキングされました。解除したければ下記口座にビットコインで〇万ドルを振り込みなさい」などと書かれていたら。。。と想像するだけでも恐怖です。
「慎重なお客様が添付ファイルを開いてくれるかなぁ」と私は心配したわけです。
結局一晩考え、「私の心配は、このシステムを使うことにより、若干の負担が増える要素があるに過ぎないということだ。少なくとも、セキュリティレベルが高くなるのは間違いない。送信先に電話などでメールが本物であることを伝える、などの手間が増えるかも知れないが、それはセキュリティ向上のための一種の必要経費だ。」と判断したわけです。そして今のところ、判断が誤りだったという気配はありません。
さて、2番目のよくあるセキュリティ上の不適切事例は「IDやパスワードの使いまわし」です。最近はかなり少なくなったようですが、インターネット上のサイトにアクセスするために必要なIDとパスワードを、一組あるいは少数組だけ用意し、それらを複数あるいは多数の利用者で使うというやり方です。
これがなぜ悪いのか、効率的で良いではないか、と思われる人もいらっしゃるかもしれませんが、不適切である様々な理由があります。
まず、使う人が多ければ多いほど、共有しているグループの外部にID・パスワードを知られてしまう懸念が高まりますし、アクセスを想定していない第三者がこのID・パスワードを利用していることに気づきにくくなります。そして、もっと深刻なのは、そういう使いまわしを容認する会社・組織の場合、セキュリティ意識そのものが低く、使いまわしは多数ある不適切の「氷山の一角」に過ぎない可能性が高い、ということです。
そして、別の観点で重要なのは、ソフトウェアを利用するにあたり、IDの数で利用料が決められているケースが多々あり、使い回し行為はセキュリティの側面もさることながら、コンプライアンス違反、ということになる可能性もあることです。システムの利用規約をご確認していただくことも重要なことです。
今回の話題の最後、3番目の不適切事例はウェブサイトに利用されている通信方式に関する話です。試みに、御社のウェブサイト(ホームページ)を開いてみてください。アドレスバー(画面左上にあるURLの入力欄)のところに、このような表示が出ていないでしょうか?
使用ブラウザがMicrosoft Edge の場合
使用ブラウザがGoogle Chrome の場合
使用ブラウザがMozilla Firefox の場合
(第3回に続きます)