2019年の今年は「令和元年」であるわけだが、年初はまだ「平成31年」だったので、ギリギリまだ平成ともいえる。ところで、ITの世界にもいろいろな都市伝説や根拠は薄いけれどもかっちり守られているしきたり/習慣があり、少なくとも今の世界では通用しないため本当は改善したほうがいいのだが業界的にずるずるといってしまっていることが色々と存在する。年末の今、平成を思い返したときに元IT企業に勤めていた人間として「この習慣は平成のうちに終わらせておかねばならなかっただろうに!」と悔やまれることを7つ挙げてみた。
※ちなみに、諸君のまわりでこれらをすべてやめられている人がいたならば本当に神である、というのが残念ながら今の現状だ。
#【7位】 2要素認証でない「2段階認証」
これは令和元年にセブンペイサービスの停止でだいぶ話題になったので、認識されている諸君も多いかもしれない。話題になったのは大手企業のサービス停止の失態であるが、この記事で注目したいのは使われている用語である。マスコミはあいかわらず「2要素認証」と「2段階認証」の違いを正しく理解できておらず、間違った情報をまき散らしている。
セブンペイ、2段階認証なし 海外アクセス無制限https://t.co/V9kTYqcZoE
— 産経ニュース (@Sankei_news) July 5, 2019
→なりすましを防ぐための「複数の認証措置」をとっていなかったことが主な要因とみられている
→国外でサービスを展開していないにもかかわらず、海外からのアクセスも制限していなかった
何が違うかは以下の記事がまとまっているので参照されたい。
ポイントは以下のとおりである。
二段階であること自体にセキュリティ向上の価値はない
(1)「知っていること・記憶していること」知識要素(2)「持っていること・受け取っていること」所持要素(3)「自分の身体があること」生体要素、この(1)、(2)、(3)の認証要素を2つ使った認証が「二要素認証」となります。アメリカの国立の研究所であるNIST (米国標準技術研究所)は、「二段階認証」の価値を全く認めていません。NISTのガイドラインには、認証要素とその強度に関する記載がなされており、高い認証強度を確保するには2つ以上の認証要素が必要とされています。
つまり、同じ要素の情報は他人が同時に入手可能であることが実際には多いので、違う要素を組み合わせないとセキュリティ強度があがらないよ、ということである。
やはり日本だけがこの認識が間違って広まってしまっているようであるが、この記事では以下のように考察している。
日本だけなぜ「二段階認証」という言葉が流通している理由は、2000年前後に「パスワード+秘密の質問」の2つで、広く二段階認証が行われたためと推察します(この時代は、パスワードと秘密の質問を併用することが安全とされていました)。よって現在では、「二要素認証」「多要素認証」と書くのが正しい使い方であるにもかかわらず、「二段階認証」と誤って使われているのです。
秘密の質問とかは意味がないのである。いまだに秘密の質問をいくつも聞いてくるサービスが散見されるが、そのようなサービスのセキュリティ強度を信じてはいけない。これはまさに「平成の負の遺産」。2要素認証でない2段階認証は撲滅したい。
#【6位】 パスワード後送信付きZIP暗号化ファイルメールの無駄な処理
やはり日本だけの慣習として、企業や官公庁で行われている慣習に「パスワード付きZIP暗号化ファイルとパスワードをメールで送る」というものがある。これはかつて日本のITベンダーが広めたもののようだが、ZIPファイルとパスワードが連続してメールで送られてくるため、受信者は通常両方とも同時に入手出来てしまうため、セキュリティ強度の向上としては全く意味がない。ただ、この方法を取らないと情報漏洩だと始末書を書かなければならないITベンダーもいるようで、まったく意味が解らない。受信者はただただ開封が面倒くさいだけだ。最近はPPAP (Passwordつきzip暗号化ファイルを送ります、Passwordを送ります、Aん号化、Protocol)などと揶揄されている。
より詳細な情報については、たとえば以下の記事にまとまっているので参照されたい。
まさに日本だけの恥ずかしい習慣である。「くたばれPPAP」 Facebookグループもあるので、賛同される方は参加してみてもよいだろう。
#【5位】 出社してオフィスで使うことが前提のIT基盤
日本でも少子化やブラック企業での従業員自殺の問題などを経て『働き方改革』がだいぶ広まってきているようだ。少なくともこのキーワードがマスコミに登場してからは、もう10年近く経つ。平成最後の年には『働き方改革関連法』も成立 (平成30年7月6日公布、平成31年4月1日順次施行) して、国家としても本格的に推進していく形が整いつつある。
働き方改革といえば、法律的には長時間労働の抑制、有休休暇の消化義務、高度プロフェッショナル精度、同一労働同一賃金などが導入された。また、企業慣習としてはITの力を利用してテレワークやリモートワークも推進されている。欧米ではオフィスに出社せず自宅から一日中テレワークで働くなどはもはや一般的な働き方であり、我が国もそれに一歩近づきつつあるということだ。
しかし、一方で肝心のIT環境に目をやってみると、企業/組織によってはまだまだ出勤してオフィスの中だけで働くことが限定になっているシステムが多いのも事実だ。メールや情報共有システム、社内業務システムが社外から使えない、といったところもまだまだ多いだろう。適用業務をきちんと選んだうえでテレワークを推進することで生産性が上がるなどの実績もきちんと出るようなので、国際競争力をつけるためにもこれはどの日本企業も欧米並みに推進してほしいところである。
詳細は以下の記事を参照されたい。
#【4位】 企業ネットワークのインターネットとの接続口を1か所に絞る
これは意外と知られていないことかもしれないが、10年ほど前からSaaSなどのクラウドサービスが導入され始めた際に関係者の間でよく問題になったのがこれである。これも欧米ではそんなことはないのであるが、日本では某ネットワークベンダーが導入を推進したようであるが、企業ネットワークとインターネットとの接続口はひとつのパブリックIPアドレスに絞って、ここですべてのセキュリティ対策を行う (いわゆる『入り口対策』) 、というものである。
ただし、パブリッククラウドを導入しようとするとこのパブリックIPアドレスにアクセスが集中してネットワークトラフィックのボトルネックとなってしまう。今の世の中ではセキュリティ対策は『多層防御』が主流であり、入り口対策だけでは不十分であり、内部対策、出口対策、標的型攻撃対策など、様々な対策を行う必要があるというのが常識であり、インターネット接続口をひとつに絞ることにはまったく意味がなくなっている。
クラウド導入時の障害になるこのネットワークトポロジをまだ採用している場合は、令和の早いうちに変更することをお勧めする。
#【3位】 従業員の生産性を下げるIT環境
ITは企業/組織にとって本来は『競争力をつけるための積極的な投資対象』であるはずなのだが、日本の企業/組織では残念ながら『コスト』としてとらえているところが多い。それが、企業/組織内で使われているIT環境にも現れている。10年前のスペックではないかというような遅いパソコンをみんなで使っていたり、かといってBYODは制限していて最新のサービスや外部からの情報アクセスができなかったりして、結局従業員はひそかにGoogle DriveやLINE/facebookなどを使って仕事をするといった『シャドウIT化』してしまっているのではないだろうか。
従業員はみんなプライベートでは一般消費者向けの最新のサービスを使っているのに、企業/組織では使えないのである。これはかなり理不尽な状況であり、生産性を大きく下げている一因となっている。BYODをやっている企業で、いままでセキュリティ対策で大きな問題が出たというニュースはないはずである。セキュリティ対策は結局のところBYODをやるやらないといった形式的な事ではなく、BYODをやるのに必要なセキュリティ対策も出ているので、これをきちんと導入するようにすればよい。また、BYODであるかどうかにかかわらず従業員のセキュリティ教育など**『どのような脅威があるかを認識させる教育』『不正を働かない教育』**を行って一人一人が意識をもって対策することが結局のところ一番重要なのである。
自社で予算がないならBYODで最新デバイスを使えるようにするなど、従業員の生産性を下げないような対策が必要ではないだろうか。
#【2位】 紙原本主義/ハンコ主義
ここからはさらにハードルが上がってくる内容になる。DocuSignやワークフローソフトウェアをはじめとしたシステムがかなり普及してきており、社内外の稟議、経費承認、契約行為にこれらのしくみを使う機会も最近かなり増えてきたのではないだろうか。外資の企業などでは原本のやり取りをしなくても電子証跡のみで契約行為が完了するところも多い。
しかし、日本では相変わらず紙原本が必要となる。これは監督官庁が定める制度に依存するところも大きいので一筋縄ではいかない。このために、日本企業ではたとえば経費の領収書や契約書の保管のために巨大な倉庫を海外や郊外に借りるなどしているところもあるほどである。これは大きな無駄である。
また、同時に言われるのがハンコ主義である。PHS (PrintしてからHanko押してScanして送ってくださいプロトコル)とも揶揄されているが、承認には紙にハンコが押されていないと認めない、というものである。詳細は以下の資料を参照されたい。
*『PPAPを何とかしたいがPHSも何とかしたい(PDF版)』
ただ、昔は紙が必須だったものも、近年の制度改正 (電子帳簿保存法など) で不要になってきているものもある。(たとえば領収書など) 思い込みでずっと原本を保管するのはやめて、最新の制度を正しく解釈して、そろそろ完全電子化に切り替えてみてはどうだろうか。
電子帳簿保存法は2016年と2018年に大幅な規制緩和が進められました。2016年の改正で原則7年間の保管の義務も条件次第では不要となり、2018年の改正ではスマートフォンで撮影されたデータも認められるようになりました。完全に電子化で保管できるようになったことで、領収書の保管方法を電子化に切り替える企業が増加しています。
#【1位】 パスワードの定期的変更、パスワードでのログイン
そして、平成のうちに止めたかった無意味な習慣、1位は「パスワード」である。読者の諸君も公私含め様々なITシステム/サービスを利用していてパスワード管理には手を焼いていることであろう。たとえば以下のような事柄である。
- パスワードの定期的変更を求められ、煩わしい、新しいパスワードが覚えられない。
- パスワードの設定ルールがシステムによって違うので、対応が難しい。
挙句の果てに、取り扱うパスワードが数十にもなってしまい到底覚えられないし、同じパスワードの使いまわしも限界がある (パスワードの設定ルールも違うので) ため、パスワードを記述する付箋、テキストファイルやExcelファイルなどを使っているのではないだろうか!?または、ちょっと対策をしている人はスマホアプリなどでパスワードを管理するソフトを使って管理していたりするかもしれない。
しかし、平成最後の年にマイクロソフトはパスワードの定期的変更が無意味な変更であることを認めた。パスワードを変更しても既存のものに小規模な変更を加えたり、一般的に覚えやすいものに設定されるために攻撃から十分に守れないのである。
今後はこの無意味で危険な習慣をやめて生体認証やPINを用いたログインが一般的になっていくだろう。Windowsでもパスワードレスを強制する方法が実装されたが、残念ながら平成のうちには十分普及しなかったようである。令和の早いうちにはWindowsだけでなくすべてのITシステム/サービスでこの流れが加速して『パスワード地獄』から人々が解放されるようになることを望む。