セキュリティの目的(改版1)
オランダ本社のIT部隊が設定したパスワード更新要求がうっとうしい。半年毎にパスワードを更新しろといってくる。乱数表から打ち出したデフォルトパスワードを勝手に設定してきて、これでいいならそのままつかうもよし、変えたいのなら、好きに変えろと注意書きがついている。オランダ人は「好きに」という言葉の意味が分かってないとしか思えない。覚えやすいものに変えたいと思っても、煩雑な規則があって、好きに変えられない。この類のことにはいつまで経っても慣れない。自分の不器用が情けない。
パスワードはアルファベットの大文字小文字に数字の組み合わせで八桁でなければならない。自分の氏名は使えない。LondonとかJohnなどよく知られた固有名詞も使えない。数字をどうしようかと考えて誕生日が思い浮かぶが、簡単に思い浮かぶものは、どれもこれもシステムにブロックされて使えない。幸い、日本人の名前は登録されていないから使える。女房や子供の名前に両親の名前を使っても、半年もすれば更新しろといってくるから、その度にあれかこれかと考えて、入力して、運がよければ更新が完了する。
完了したはいいが、今入れたパスワードなんだっけと慌てる。確か、こうだったよなとメモしてキーボードの一番上に貼っておく。とてもじゃないが覚えちゃいられない。万が一のことを考えて、手帳にも書いておく。こんなパスワードを設定して、パスワードの用をなさないと思うのだが、しょうがない。誰かシステムに入ってどうのということなど考えられない。入ったところで、迷路で迷子になって終わりだろう、とIT部隊が知ったら血相をかえて大騒ぎになることをしていた。
ひょんなところからアメリカ系の巨大コングロマリットの日本支社の制御機器事業体からお呼びがかかって転職した。従業員数十万人を誇る会社のパスワードに拍子抜けした。さすがに氏名や誕生日は使えないが、八桁であればなんでもいい。独特のものと言ってはくるが、cocacolaでもかまわない。そのうえ、こっちのシステムにはこのパスワード、あっちのシステムには別のパスワードという面倒なことがない。ワンパスワードと呼んでいたが、ひとつのパスワードでアメリカであろうが日本のサーバであろうが、どこでも、許されている範囲という限定があるにしてもアクセスできる。
コングロマリット内には防衛産業もあれば金融業の事業体もある。どこもしっかりアクセス権を管理していると思うが、ワンパスワードは一事業体に限ったポリシーではなく、コングロマリット全体のセキュリティポリシーだった。オランダの会社でうんざりしていただけに、セキュリティにうるさいはずのアメリカの会社がこんなポリシーでいいのか、と拍子抜けした。
方やオランダに本社をおいた、十年経っても何が変わるわけでもない業界の枯れた会社、方やアメリカの国家レベルにまで関係した情報がいきかっている超の上に超のつく巨大名門企業。このパスワードに対する違いはどこからくるのか。一従業員としての視野と理解でしかないが、アメリカとヨーロッパのIT部隊のありようとマネージメント層の実業に対する姿勢の違いだろうと想像している。
いくらパスワードで情報の漏洩を防ごうとしたところで、従業員どころか上級副社長レベルの人たちが似たような業界を行ったり来たり、なかには行政のポジションと掛け持ちしているのではないかという人たちまでいる。そんなコングロマリットでは、極端にいえば、日常業務で扱う情報までは、抜けるのはしょうがないと割り切っているのではないかと思う。それにしてもワンパスワード、背景には不器用な上級役員の要求があるのかもしれない。財務畑の上級役員には金勘定には長けていても、変化の早いコンピュータの扱いに不慣れな人もいるだろう。セキュリティを気にして煩雑なチェックをかけたら、出入りの激しい上級役員のなかには、いつまでたってもセキュリティに引っかかる人もいる。たとえそれが個人の不注意や能力の問題であっても、IT部隊としては上級役員の個人の責任と突っ張りきれない。
IT部隊が部隊内のロジックであれこれ考えて、コンピュータの扱いに習熟した人たちの常識で、セキュリティはこうあるべきだと上申したらどうなるか。たとえ正論であったとしても、習熟からはほど遠い役員連中のひんしゅくをかって終わる。セキュリティのために会社があるわけでもなし、日々の業務を効率よく遂行する環境を提供するのが目的で、万が一にも自分でかけたセキュリティが自分の仕事の弊害になりかねないシステムは許されない。そこにはIT部隊がセキュリティがどうのこうという前に上級役員がビジネスを遂行するためという金科玉条の判断基準がある。
事業規模で比較することさえ不可能なニッチな市場の一プレーヤにすぎないヨーロッパの会社で、なぜそこまでセキュリティが厳しいのか。ドイツの会社とスイスのドイツ語圏の会社では、本社のIT部隊が社用のPCの環境とステータスを逐一管理していた。本社のIT部隊がちょこちょこっと設定を変えればPCの電源すら入れられなくなる。世界中でデファクトスタンダードになっている使い勝手のいいフリーウェア、たとえば圧縮解凍ソフトをインストールするなど許されない。PC上のアプリケーションソフトウェアはすべて本社のIT部隊の管理下にある。
なぜここまで?ヨーロッパの会社のIT部隊はIT部隊のロジックでセキュリティを設定していて、事業を推進していくための一部分でしかないという考えがない。考えがないまでならまだしも、こういう管理や監視もできるという、自分たちのロジックで、極端に言えば、自分たちの権限の強化になることであれば、なんでもかんでも、セキュリティの強化という錦に御旗のものとにやりかねない。
セキュリティの正論を吐かれたら、それを理解して、上級管理職がマネージメントの視点で諭すだけの意識や知識が足りない。ビジネスを遂行してゆくための基盤を提供するという本来の責務からはみ出て(失礼?)、セキュリティに縛られたシステムができあがる。上意下達の管理社会に生まれ育った人たちにはそれが当たり前なのかもしれないが、自由闊達にビジネスをという社会で生きてきたものには、ITに遅れをとった社会のちょっとした奇形のように見える。
2017/2/19