システム管理者が“暴君”になるとき悲劇は喜劇より偉大か?

パスワードポリシーをやたら強化したがるシステム管理者が現れた。「情報漏えいが起きたら、責任を取れますか? 」――この言葉に従業員には、反論の余地はない(攻めのシステム運用管理)。

» 2005年07月25日 08時10分 公開
[若葉田町,ITmedia]

 会社規模が大きくなるにつれて、さまざまなパスワードが扱われるようになる。セキュリティに過剰なまでの反応を見せるこのご時世で、パスワードポリシーをやたら強化したがるシステム管理者が現れてもおかしくはない。

模範的なパスワードポリシー

 前任のシステム管理者は非常に生真面目な性格であった。曲がったことが大嫌いで、特にパスワードポリシーについては一切妥協を許さない性質の人であった。記号入り英数字6文字以上、2週間ごとのパスワード変更義務、同じパスワードは2度と使えないという、良くいえば模範的、悪くいえば非現実的なポリシーである。

 当然、社内からは厳しすぎるという不満の声が上がり始めた。しかし、システム管理者としてのある種必殺技といおうかか、禁じ手に出た。

 「では、情報漏えいが起こったら、あなたは責任を取れますか?」

システム管理者が言おうものなら、面と向かって反論できる者もおらず、最終的にはいつもシステム管理者のポリシーに押し切られる形となってしまう。

パスワードの漏えい

 このようなパスワードポリシーであれば、普通の人間は当然パスワードを覚えきれなくなる。その結果、ほとんどの従業員が自分のパスワードを紙に書き留めるようになっていた。そして、それが紛失。一気にパスワード漏えい事件に発展した。

 この責任の一端はもちろん紙を紛失した者にある。しかし、果たして本当にそれが本質的な原因であったのだろうか。そこで改めて、この問題について経営会議で議論された。その結果、言わば当たり前だがパスワードポリシーが現状に即さずルールが厳しすぎるとの結論が出た。2週間ごとにパスワードを変更せねばならず、かつ同じパスワードは2度と使えないということであれば、ほとんどの人がパスワードを覚えられなくなるのは当然のことであるということである。

 しかし、システム管理者は今回の事件の件は、あくまでもパスワードを紙に書き留めた従業員が悪く、自分には一切非がないと一切取り合おうとしなかった。

システムボイコット事件勃発

 あまりにかたくなな態度に、従業員の間でシステムボイコット事件が勃発した。誰もシステムを使わないという状況が起きはじめた。その代わりに、従業員はシステム管理者に無許可で社内に勝手にサーバを立て、勝手に別のシステムを稼動させはじめた。

 これを当然面白く思わないシステム管理者はファイアウォール設定により、それらのアクセスを一切遮断。これが致命的となりシステム管理者と従業員の間の亀裂は修復不可能なものとなった。結局、このシステム管理者は一連の騒動の責任を取って自主退職したが、なんとも後味の悪い事件であった。

教訓

 いくら理屈では正しいことであっても、限度がある。特にITインフラに絶大な権力を持つIT部門は、自身の権力を振るうときは細心の注意を払うべきである。従業員に信頼されないシステム管理者は“暴君”そのものでしかない。

若葉田町


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ