無線LAN禁止、VPN禁止、FTP禁止……は管理者の怠慢か：システム管理の“ここがヘンだよ”（2/3 ページ）

[池田冬彦，ITmedia]

社内LANが無法状態に

　当然ながら、現場からは強い反対の声が上がった。FTPを禁止にするなどもってのほかだ。そんな勢いに押され、1年前に禁止する予定だったFTPサーバは、なぜか現在もまだ稼働し続けている。情報システム部としては、廃止する旨を各部署に通達するにとどまり、廃止のタイミングを虎視眈々（たんたん）と狙っている状況だ。

　「いつFTPサーバを止められるか、分かったもんじゃない」。現場では情報システム部への不信感が広がり、自主防衛への動きが進んでいく。オフィス内に光回線を引き、自前でサーバを立てたり、ファイアウォールがふさいでいないポートを調べ上げ、使われていないノートPCを簡易サーバとして再利用するなど、無法状態と化してしまったのだ。

机の下に隠れていた光回線の終端装置（ONU）とサーバらしき古いデスクトップPC

一見、使っていないCRTのように見えるが、実は隠れサーバのコンソールモニタだった

　しかも情報システム部は、そうした状況を把握しきれていない。部署内で社員がプライベートに管理するサーバが万一、ワームなどの攻撃を受けたらどういうことになるだろうか。また、アカウント管理が徹底できず、不正アクセスを許してしまったらどんなリスクが発生するのだろうか。まさに、禁止政策が新たな脅威を生み出してしまった格好だ。

無線LAN禁止令が生み出すセキュリティホール

　禁止政策にかかわるエピソードはまだある。最も典型的な例は、無線LANを禁止しているオフィスだろう。小〜中規模オフィスによく見られるのが「もともと無線LANを導入しておらず、これから導入するつもりもない」というケースだ。管理者によくよく話を聞いてみると、わざわざお金を掛けて自分達の仕事を増やすようなことはしたくない、という本音が聞こえてくる。

　ある大阪の企業E社の情報システム部では専任者が1人しかおらず、あとは掛け持ちで業務に当たっている。日ごろの運用管理業務やサポートで手一杯、無線LANを導入して管理領域を増やそうなんて気にはとてもなれないと語っていた。また、東京都内のある企業の管理者は「無線LANを本当に安全に運用するなら、とてつもない投資が必要になる。ウチにはそんなお金はない」と話す。

　情報システム部門にはさまざまな事情があり、二の足を踏むのは理解できる。しかし、だからといって「当社は無線LANは禁止です」と社員に通達するだけで、システム保全というミッションを全うできるのだろうか。隠れアクセスポイント（社員が持ち込んで勝手に設置したAP）や、オフィス近隣のローグAPを利用するといった新たなリスクを生み出すのだ（関連記事参照）。

無線LANの小型APは非常に発見しにくい。社内を肉眼で探し回るのは困難だ

　実際に筆者は、W-ZERO3やEM・ONE、X01HTといった私物のスマートフォンを社内で使うため、禁止と知りながら自宅からAPを持ち込んでいる社員を知っている。これらのスマートフォンにはイーサネット端子がないので、会社で使うには無線LAN環境が必要だ。巧みに隠してしまえば、上の写真のようなAPは非常に見つけにくい。これも、先に紹介した事例と同様、新たな脅威を生み出しているわけだ。