企業のITシステムにおいて、ユーザーID管理は「なりすまし」を防ぐための極めて重要な要件だ。しかし、PCを使っている中小零細企業では、ユーザーIDが管理されていないケースも多い。
たとえば、社内で10台のPCを使っている場合、10台すべてに同じユーザーIDとパスワードを設定していたりする。たった、1つのユーザーIDとパスワードを覚えておけば、どのPCにでもログオンできてしまうのである。別の例では、ユーザーIDは違うものの、パスワードはすべて同じか、管理者がすべての社員のパスワードを把握しているといった具合だ。
「出先からメールを確認してもらうのに便利なので……」「自分のパスワードを忘れてしまう人が多いので……」など、いろいろと言い訳もあるだろうが、これではそもそも「ユーザーID」自体を使う意味がない。
こうしたずさんなユーザーID管理を続けていると、次のような問題が起きる。会社に、阿倍さんと井上さんという社員がいるとしよう。阿倍さんも、井上さんもお互いのパスワードを知っている。つまり、お互いがお互いのユーザーIDを使ってログオンできてしまうというわけだ。
例えば、阿倍さんが、社外に提出するために保存してある決算報告ファイルを、阿部さんのユーザーIDでログオンした井上さんが書き換えたとしよう。このファイルは、本来、阿倍さん以外の人物が修正してはいけない重要なファイルである。
阿倍さんは提出時に確認を怠ると、提出先から指摘されるまで気が付かないことになる。もしも、提出先も気が付かなければ、公式資料となり、責任やメンツもからんで、訂正が難しくなる。しかも、このファイルを修正したのが誰なのかも、追跡できない。
これは、IT内部統制の観点からすると非常にマズイ状態である。
ユーザーIDをもれなく更新することが重要
現在、社内のPCをスタンドアロン(社内のサーバで管理しない状態)で使っているのであれば、ユーザーIDは各PCに保存されている。例えるなら、社員各自が社員名簿を持っているような状態だ。
紙の社員名簿であれば、社員の誰かが引っ越した場合には、新しい住所に書き換えて、社員全員にコピーを配るだろう。ところが、名簿を管理する側では、各自が持っている名簿が最新のものか、古いものなのかまでは把握が難しい。
PCの場合も同じである。
従業員全員にPCが与えられているのならば、ユーザーIDを一元的に管理することは、実はあまり問題にならない。自分のPCのID管理は各自ですればよいし、「阿倍さんのPCを井上さんが使っていましたよ」というような目撃証言も得られるだろう。とはいえ、不正な作業中に運良く(悪く?)目撃者がいないこともある。そして、数人のユーザーが複数のPCをシェアしながら作業するような環境であれば、他人のIDで作業をしていても、はた目には分からない。
数人のユーザーが複数のPCをシェアするような環境であれば、名簿を更新して全員に配り直すのと同じように、ユーザーIDの設定を変更したら、別のPCにもユーザーIDをコピーしなければならない。特に、パスワードを定期的に変更するのは、面倒だが重要な作業となる。作業が定期的に実施されなかったり、漏れがあったりしては意味がない。
セキュリティ業界の常識では、不正のほとんどが、内部の犯行であるという。まずは、「不正が起きにくい環境整備」が必要なのだ。
