パスワードをパソコンに貼るな！

　中小企業は、セキュリティー感覚が大企業に比べて非常に甘い。IT化を推進していくには、同時に組織のセキュリティーレベルを向上させる事が不可欠なのだが、問題の根は深い。
　
　いま、中小企業にもパソコンLANが次第に浸透している。もう数年もすれば、ほとんどの会社にパソコンLANが導入されるだろう。目的は、文書共有、情報共有や販売管理システムの運用など、さまざまである。当然、貴重な情報やデータがパソコンLANの大もとのサーバーに蓄積されていくことになる。
　パソコンLANで、クライアントと呼ばれるパソコンからサーバーにアクセスして情報を取得したり閲覧する場合は、ユーザーIDとパスワードによって使用者の認証が行われ、セキュリティーが保持される。正しく運用すれば、非常に安全にできている。大企業で日常的にネットワークに接続している社員にとっては、常識だろう。ところが、この常識が中小企業には通用しない。

　某企業からシステム監査と見直しの依頼を受け、現場視察とヒアリングをしていて唖然とした。年輩のパソコン音痴の管理職ならともかく、若手を含むほとんどの社員が、自分のパスワードを書いたメモをパソコンのモニターのそばに貼り付けていたのだ！

　この程度の意識レベルでパソコンLANにどんどん依存して業務改革を進めていくと、ある日突然、機密情報が外部に漏洩してしまい、多大な損害をこうむる事になるかもしれない。パスワードは、銀行のキャッシュカードの暗証番号と同等かそれ以上に取り扱う警戒心と実践が重要なのだ。

急速なネットワーク化に意識が追いつかない
　中小企業では、オフコンやパソコンがごく最近までスタンドアロンで使われていたから、データはそれぞれのパソコンで処理され、メディアに記録して保管されていた。ところが、社員のセキュリティー意識の向上が追いつかないままネットワークが浸透し、情報やデータのサーバーへの集中が起きるにつれ、大きなリスクが発生している。

　ユーザーIDとパスワードを上司、部下も含めた何人かで共有している会社もある。一人一台体制が完成する前に、職場単位でパソコンを共有していた名残だろうが、ネットワークが浸透したいまとなっては、職責や仕事の権限に応じてサーバーへのアクセス権限を設定しないといけない。部下も上司もまったく同じデータや情報を参照する権限を与えられている方がおかしいのだ。

　会計管理の例で考えてみよう。普通は、経理担当者が日々の仕訳データをパソコンの経理システムに入力し、月次の試算表を責任者である経理部長が承認して、それを経営陣へ提出するという流れになる。こうした標準的な業務フローを前提にすれば、経理システムについてのアクセス権限の設定も容易にできるはずだ。

　担当者には、伝票入力の権限だけを与えるよう設定する。その上で、経理部長には財務諸表の参照権だけを設定し、誤操作を防止するためデータの修正ができないようにしておく。そして、経営トップである社長には全アクセス権を与えるというふうに、それぞれの役割と責任に応じてアクセス権限の設定をするのが理想的だろう。

　企業のIT化は、みんながお友達になることに価値がある‘お遊びIT’とは大きな違いがある。組織体質の一層の強化、セキュリティー意識の向上を伴っていなければ、企業を強くする真のIT化は決して進まないのである。

(本記事は、「SmallBiz（スモールビズ）※」に寄稿したコラム「近藤昇の『こうして起こせ、社内情報革命』」に、「第4回　パスワードをパソコンに貼るな！」として、2001年7月6日に掲載されたものです。）
※日経ＢＰ社が2001年から2004年まで運営していた中堅・中小企業向け情報サイト