企業の機密情報の保護は、ITシステム運用における重要課題の1つだ。システムの脆弱性もさることながら、甘いパスワード管理が原因で外部の人間による不正侵入を許してしまうこともある。狭い所帯の中小企業とはいえ、こうしたデータの重要性は大企業と何ら変わらない。データ防衛のための基礎知識や対策を米Wall Street Journalが「Passwords 101: How to Protect Your Company's Data」という記事で紹介している。

中小企業のセキュリティ問題でありがちなのが、パスワード管理に関するポリシーだ。WSJの記事ではMatt Blalock氏の経営する13人規模の小さな電子商取引サイトで発生した、データベースへの不正アクセス事件を教訓として紹介している。

このデータベースではデータベースの管理にパスワード1つのみを使用しており、従業員全員がそのパスワードを知っている。データベース構築には現在の従業員以外に、データパンチャーや臨時職員などを含め、数多くの人間が携わっており、パスワードは事実上筒抜け状態だったといことだ。

この不正アクセス事件を受け、同氏はすぐさま専門家を雇って5000ドル以下のコストでアクセス管理システムを構築したという。現在、従業員らは各自に強力なパスワードが設定され、毎月その内容を変更しなければならない。

ここでの教訓は、パスワードのポリシーがまったく検討されていなかったこと、もしサイトの稼働後に発生した不正アクセスであればより被害が大きかったこと、実際にシステムにセキュリティ対策を施すコストは5000ドルと(想定される被害に比べれば)それほど大きくないという点だ。備えあれば憂いなしとはいうが、システム導入時点で検討すべき課題だろう。WSJではパスワード運用ポリシーについて、下記のような参考データを推奨している。

  • パスワード割り当ては従業員ごとに
  • パスワードは推測が難しい長さで7文字以上、数字や大小文字、記号も混ぜるとなお良し
  • アプリケーションやサービスごとに異なるパスワードを設定
  • パスワードの変更周期は30-60日間隔で、少なくとも90日間程度を設定
  • パスワードは文書化しない、付箋紙で貼り付けるのはもってのほか (従業員以外の人間がオフィスにやってくることを想像しよう)
  • 共有パスワードは論外
  • 各アカウントに不必要な権限はつけず、管理者のみがアクセス制御を行えるように (管理者や経理以外の人間が企業の財務情報に触る必要はないだろう)

基本中の基本とも呼べる内容だが、中小企業であれ情報の取り扱いには細心の注意が必要だ。一般的な企業であれば少々の対策で事足りることもあるが、もし個人情報などを取り扱う業種であればちょっとした油断が命取りになることもあるし、クレジットや医療関係のデータを取り扱う企業であれば法律の縛りも受ける。こうした企業のシステムは専門家によるアドバイスやコンサルティングを受けることをお勧めする。

もっとも、セキュリティポリシーというのは分かっていても面倒なだけで、できれば避けたいと思うのが人間の心理だ。そうした手間を少しでも軽減するにはツールを使うといいだろう。例えば「シングルサインオン(SSO)」と呼ばれるソリューションでは、1つの強固なパスワード(または認証ソリューション)さえあれば、あとはアプリケーションやサービスごとに異なる複数のパスワードを覚える必要はない。SSOのシステムが処理を代行してくれるからだ。WSJの記事の例では、Verity Credit Union of SeattleがSSOシステムを導入したことでヘルプデスクの負担が大幅に軽減できたという。

Gartnerの業界アナリストGregg Kreizmann氏は同記事の中で、こうしたSSOツールを導入する中小企業が増えていると紹介している。例えばTriCipherやArcot Systemsのツールでは、Salesforce.comやGoogle AppsといったSaaS型ソリューションにおいてもパスワードの一括管理やアクセス制御を実現できるという。これらSSOツールのコストは従業員1人あたり月額で1-3ドル程度で、認証方法もパスワード以外のハードウェアを組み合わせたりと柔軟性がある。