最終回 経営視点で考える「セキュリティ VS 利便性」という命題：会社を強くする経営者のためのセキュリティ講座（1/2 ページ）

セキュリティを強化すればするほど、情報やシステムの利便性が下がると言われます。しかし、企業にとってはどちらも重要な課題です。連載の最後となる今回は、経営者が考えるべきこの命題について解説します。

[萩原栄幸，ITmedia]

　経営者のためのセキュリティ講座と題した本シリーズは、今回で最後です。「セキュリティと利便性は相反する」と良く言われますが、企業にとってはどちらも重要なテーマです。経営者はこの命題にどう向かい合うべきでしょうか。

　企業の経営者は日々苦労しています。サラリーマン社長であろうと、ベンチャー企業の創業者であろうと、会社と従業員を守るため、そして、会社の永続的な発展と利益追求を目指して奮闘している人がほとんどです。

　そのような経営者にとって、情報セキュリティは必ずしも本業に直結するものではなく、むしろセキュリティを厳しくすればするほど、会社の自由度が低下すると考える傾向にあります。ここ数年続く不況によって、その傾向は企業規模を問わず強まり、セキュリティ対策に関わる「経費」は極力少なくしようと考えがちです。しかし、その判断は本当に正しいのでしょうか。

パスワードルールは面倒

　「セキュリティと利便性は相反する」というのが最も浮き彫りになりやすいのが、パスワードの運用ルールです。ある会社では次のようなルールを決め、ルールが守られているかを定期的に検査していました。

1. 8文字以上にすること
2. 英字大文字、小文字、数字、特殊文字を必ず1文字以上使い、意味のある文字列にしないこと
3. 以前に使用したパスワードは極力再使用してはいけない
4. パスワードをPCや紙などに記録してはならない
5. アクセス権限に応じて決められた期間以内にパスワードを変更すること

　ルールの実施状況の検査は年に数回従業員の中から十数人が選ばれ、強制的に行われていました。しかし、この検査は従業員の間では極めて評判の良くないものでした。確認が厳しく行われるほど、本来の業務の効率が低下し、特に中高年の従業員にとっては不満の温床だったのです。

　パスワードは「実印」と同じかそれ以上に重要な存在ですが、そのことはまだまだ一般的には認知されてはいません。上記のような運用ルールが必要とされるのは、パスワードには、同じ文字列であれば本来の利用者がだれであろうと「本人」と認めてしまうという欠点があるからです。

　しかし、人間は入力が簡単で、覚えやすいパスワードを使い回したいと考えます。第三者に容易に分からないようにわざと難しく長い文字列を決めることは大変です。しかも、しかもそうやって決めたパスワードを定期的に変更しなければならないことは面倒だと感じます。

　この会社の場合、少しでも手を抜くと検査で問題を指摘され、自身の評価にも影響するものでした。従業員が不平に思うのは無理もないと言えます。