数年前に情報漏えい事件を起こし、再発防止の取り組みを徹底しているはずの企業から、「社員の意識が低下している」と相談があった。その原因は思いも寄らないところにあった。
東北にある中堅の製造業からの相談である。主に海外向けのベアリングを製造しているという同社。7年ほど前に、社員が従業員名簿や特殊なベアリング製造の設計図(旧モデルだが)などを、Winnyによってインターネットに漏えいさせてしまった事件を起こした。
その事件以降、同業他社が真似できないほど情報セキュリティの強化を行ってきたが、従業員の意識がどんどん希薄になっているようだという。「喉元過ぎれば熱さを忘れる」ではないが、経営層が必死になって教育や注意喚起をしても、なかなか効果が出ない。「根本的に何かが抜けているような感じがしているので、一度調査してほしい」ということであった。
事案
この企業では年3回(一般的な企業は年1回)もの啓蒙教育を実施し、しかも経営層を含む全従業員が必ず受講できるように考慮している。当日に受講できなくても、1カ月以内に同じ教育を受講させており、受講率はほぼ100%だった。しかし、システム運用者や管理者および部長以上の管理者からは、「効果が出ているとは思えない」との指摘が相次いでいる。「その主な原因と対応策について教えてほしい」という依頼だ。
まず筆者は、1週間ほど本社とその周辺にある4カ所の工場に出向き、現場を観察することにした。これまでにさまざまな工場を調査してきたので、工場全体の雰囲気、作業の活気、従業員の言動、そして、業務プロセスに基づく観察などを行うことで大体の状況を把握できる。
また、一人ひとりの従業員に30分程度の面談も実施して、従業員のモラルや情報セキュリティの教育の浸透度合いについてヒアリングした。当然ながら、製造ラインを止めることはできないので、面談は主に非番や休憩の時間帯を経営側が工夫して設定してくれた。3週間ほどで結論が出た。その間に啓蒙教育の様子も見学でき、とても参考になったのである。
調査の結果、この会社の従業員がほかの製造業の従業員に比べて「劣っている」「問題意識が低い」「責任感がない」という顕著な傾向は見られなかった。実は、3週間の調査では経営層を含む社内の人間が使うPCのIDとパスワードを調べることもできたがここに大きなヒントが隠されていた。
余談ではあるが、システム管理者だからといって全従業員のIDとパスワードをリストやデータベースで管理しているわけではない。システム担当の初心者やシステム管理ノウハウがきちんとしていない一部の企業は、パスワードをテーブルで管理しようとする、あるいは、「企業が管理しなければならない」と思い込み、そういうシステムを構築しているところがごくまれにある。
しかしID管理はともかく、パスワードまでも管理していたのでは、何のためにパスワードが存在するのか分からなくなってしまう。企業としてはパスワードを初期化する権限は持つが、「パスワード自体は知らない」というスタンスが必須である。管理はユーザー自身がすべきものだからだ。
そういう基本を理解していないシステム管理者は多い。以前にあるネット販売サイトで、平文のパスワードをファイルに読み込んでおき、アクセスした人物が正当なお客様なのかというチェックをその平文のパスワードとIDの組合せで確認しているというケースを発見した。常識では考えられないが、たぶん、そういう企業がまだあると思う。
話は若干横にそれたが、パスワードの強度について調査を行ったところ、3分以内に、6%もの従業員のパスワードがクラックできてしまった。これはランダムな生成文字からすると、何百万倍もの高い数値であり、明らかに「最悪」レベルであった。
その後システム担当者に聞いたところ、システム上では「過去に同じものを5回以上使用」「文字が8けた未満」「数字のみ」という3つのパターンに合致するパスワードは認めていないという。有意の文字列の検査や混合チェック(英字大文字、小文字、数字、特殊文字が混在)などの応用検査は負荷が高いというので、行っていなかった(そこまでは一般企業では不要かもしれないが)。
つまり、この会社にはルールに違反しているかどうかを厳密にチェックする仕組みがなかった。多くの中小企業や中堅企業の一部でも、そこまで実装できていない企業はかなりあるので、「今後の課題」として目をつぶることはできる。しかし、この会社は事実上、何も制約がないと思われるほどひどかった。一般的な企業の従業員におけるクラック率は会社のため、あるいは自分のためという意識が多少なりとも働くため、ここまでクラック率が高いということは滅多にない。
啓蒙教育の受講率がほぼ100%というだけに、なぜこうなってしまうのだろうか。実は啓蒙教育を受講したら……。「これが原因だ!」と思わず口が開いてしまったのである。
Copyright © ITmedia, Inc. All Rights Reserved.