2018年度に寄せられたセキュリティ相談窓口への問い合わせを振り返ると、ある一つの重要な転換点が浮かび上がります。それは、従来の「境界防御」から「ID中心の防御」へと脅威の主戦場が移り変わった年であったという点です。
パスワード使い回しの「出口戦略」の欠如
2018年は、大規模なリスト型攻撃による不正ログイン被害が社会問題となりました。相談者の多くは「複雑なパスワードを設定していたのに」と戸惑いますが、実務の現場で問題だったのは、パスワードの強度ではなく「使い回し」という心理的な癖でした。
特筆すべきは、複数のサービスでIDとパスワードを共有していた場合、一つのサービスが侵害された瞬間に、他のサービスまで芋づる式に被害が拡大するリスクです。私たちは、IDを守るだけでなく、万が一漏洩した際に「どのサービスと紐付いているか」を把握しておく、いわばIDの出口戦略を平時から準備しておく必要性を痛感しました。
シャドーITが招いた、組織のコントロール外にあるリスク
また、この年度に急増したのが、従業員が業務の効率化を求めて無許可でクラウドストレージやタスク管理ツールを利用する「シャドーIT」の問題です。2018年度の相談では、特に個人の私用メールアドレスで業務データを管理し、そのまま退職してしまったケースが目立ちました。
これは単なる規律の問題ではなく、IT部門が「現場の利便性」を無視してセキュリティを押し付けた結果、現場が勝手に抜け道を探した結果とも言えます。セキュリティ専門家として私たちが強調すべきは、「制限」ではなく「適切な代替案の提示」です。
信頼の崩壊を防ぐために
2018年度の教訓として、セキュリティインシデントは技術的な欠陥以上に、「人の行動」と「システムの管理権限」の不整合から発生するという事実があります。
IDは単なる認証情報ではなく、組織における「信頼の単位」です。この年度の振り返りを通じて、今一度、貴社のID管理ポリシーが「現場の実態」と乖離していないか、棚卸しを行うことを強く推奨します。セキュリティは、システムを導入して終わりではありません。現場のワークフローに溶け込み、かつ透明性を担保するプロセスこそが、最大の防衛策となるのです。
コメント