「Excelシートでパスワード管理」のデメリット：半径300メートルのIT（2/2 ページ）

[宮田健，ITmedia]

「一律禁止」気持ちは分かるけれど……

　個人的には、情報システム部門がそういったポリシーを作らざるを得ない状況は理解できます。しかし、それでもやはり「一律禁止」には未来がないと思っています。すでに浸透したシャドーITを突然禁止してもユーザーは「こんな便利なものを禁止して、わざわざ仕事の効率を落とすの？」としか思わないためです。

　もしかしたら、すでに現場はシャドーIT前提で動いているかもしれません（LINEでの業務連絡がその最たる例です）。いきなり禁止されても、現場が黙って使い続けることは目に見えています。

　ですから、ぜひシステムを管理する人、そしてポリシーを作る人、さらには経営陣には、こういった便利なツールを率先して使ってみてほしいのです。仕事ではなくても、個人で各種クラウドストレージ、Slackなどのメッセージングツールを使ってみて、その便利さを実体験してほしいと思っています。そうすれば、これらのツールをシャドーITとしてではなく、日の当たるちゃんとしたITとして、より仕事を円滑に回すために活用できるのではないでしょうか。

　従業員が、自分が使っているサービスの良さを上の人へ伝えることも大切でしょう（もしかしたらシャドーITといわれてしまうかもしれませんが……）。利用されるツールには、利用されるだけの理由があるのです。それを伝えられれば、風向きが変わるかもしれません。本コラムをそのような目的で利用してもらえれば本当にうれしいです。

新しい便利と新しいリスク、そして新しい防御の形

　これまでシャドーITだったツールを正式に社内の仕組みとして活用する際には、必ずツールに関するリスクを継続的にキャッチアップしていきましょう。クラウドストレージを活用する最大のメリットは「共有」にあります。しかし誤った共有設定による情報露出や、共有リンクが短縮URLになりマルウェアへ誘導するURLと区別がつきにくくなるなどのリスクが高まります。

　これらに対しては、クラウドサービスの適正利用を行うための「CASB（Cloud Access Security Broker）」や、これまでとは異なる経路でマルウェアが送りつけられてきても適切に判定できるような仕組みが必要かもしれません。また、新たなツールには新たな悪用方法が見つかることもあります。このウォッチも、継続していきましょう。

拡大する正規ツールによる隠蔽手口、マルウェアによる「Slack」の悪用を初確認 | トレンドマイクロ セキュリティブログ

New FireEye Email Threat Report Reveals Increase in Social Engineering Attacks | FireEye

結局、専用ツールに勝るものはないんです

　そして、冒頭に述べたExcelシートでパスワード管理が後ろ向きと感じた理由はもう一つあります。それは、より便利な、パスワード管理専用ツールがあるためです。

　パスワード管理ツールはWebブラウザと連携しており、IDとパスワードを「特定のURL」とひも付けて記録しています。そのため、正しくないURLの場合、パスワード管理ツールに保存されているID、パスワードが入力されません。認証情報を盗まれてしまう直前に「フィッシングサイトを見抜くきっかけ」が1つ増えるのです。

　この機能は、人間のミスをカバーしてくれる仕組みとして、かなり有効です。これこそ、シャドーITから正しいITに昇格してほしいツールの筆頭です。ぜひ決裁権のある方に使っていただきたいと思っています。

　便利なツールをシャドーITとして扱い、業務利用から目を背けている間は、新しい活用も新しい方法の防御もできません。ぜひ前を向いて、ITを日の当たるものにしてあげてください。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。