パスワードを全て覚えていますか?

長文記事
長文記事人事のヒントITのヒント不正のヒント店舗のヒント

社内で利用されている パスワードを全て覚えていますか? ここ数年で様々な便利なWEBサービスやクラウドサービスが充実してきました。これらには必ず、ユーザー名(アカウント名)、パスワードを設定して利用するはずですが、便利な反面、リスクが潜んでいることとその対策を説明します。

ソフトウエア、システム、クラウドなどが増えている

現在かなり多くの人が利用しているサービスの代表的なものを下記に挙げてみますが、これらのサービスを企業として業務に利用しているという方も多いのではないかと思います。

 Facebook、Instagram の企業ページ
 Twitter の企業アカウント
 Linked IN の企業アカウント
 Googleの Gmail、Googleドライブ、Googleドキュメント
 マイクロソフト One Note、One Drive
 Dropbox でのデータ共有

無料で使えるものも多く大変便利なので、業務の中でも活用している人もいるかと思います。

上記の物は WEBサービス や クラウドサービス と呼ばれるものですが、この他にも社内には、会計ソフトウエア、ERPシステム・基幹システム、サーバー、インターネット接続、VPN接続、ルーター、WiFiアクセスポイント、NAS、等々があります。

全てに「ユーザー名」と「パスワード」がある

これら全てに「ユーザー名(アカウント名)」と「パスワード」が設定されている、もしくは、プロバイダーより送られてきていますので、上記のWEBサービスと社内のソフトウエアや機器を全て合わせると、とんでもない数の「ユーザー名」と「パスワード」があります。

(ユーザー名・パスワードのセットを「アカウント」と呼ぶこともあります)

各スタッフの分もある

さらに、これだけではありません。もし、スタッフ達とも共有している場合には、各スタッフも独自の「ユーザー名」と「パスワード」を持っている場合があります。
この各スタッフのアカウントは、各スタッフが自分で作ったもの(もしくは元々持っていたもの)か、会社が与えたものか、どちらかになりますが、もし、各スタッフのものだとすると、既に管理が出来ていないと言えます。

Windows、iPhone、スマホ、タブレット

さらに、さらに、会社で購入したPC、Windows、iPhone、Androidスマホ、タブレット、などを業務で利用している場合、その全てにアカウント(ユーザー名・パスワード)があります。

以上の全てを踏まえて、スタッフ数5人程度の小規模企業で考えてみたとしても、

数量管理パスワード数スタッフ5人分
WEBサービス(企業アカウントのみ)33
WEBサービス(各スタッフ個別)339
社内システム(会計ソフトウエア、ERP)115
社内機器(サーバー、ルーター、WiFi AP 等)33
社内機器(PC5台、スマホ2台、タブレット 等)835
小規模企業でのパスワード数

パスワード総数は 32個もあるという結果になります。

全ての パスワード を同じものにしていると

いちいち違うパスワードにするのは面倒だということで、ほぼ全てのサービスや機器に同じパスワードをつけている人がたまにいらっしゃいます。この場合、1つのパスワードを知ることが出来れば他の全てをコントロールできるという状態ですので、大変危険な状態です。

また、最近のPCやスマホは、パスワードを自動的に保存してくれていちいち入力しなくて良いようになっていますが、この場合もPCが故障したり無くなってしまった場合のリスクは大きいと言えますので、パスワードそのものを管理することが大切です。

スタッフ任せだと重大な問題に発展する可能性

日本では「情報管理室」、略して「情室」や「情管」と呼ばれる、IT専門の部署があり、この部署にてパスワード管理などを行っているかと思いますが、タイではどうでしょうか?
タイでも情報管理部署を設置している、または、総務やスタッフ1人を情報管理者に指名して、パスワードの管理をしている、という企業も多いかと思います。

管理者が辞めたときが問題

タイでは離職率が高いため、このパスワードを管理している情報管理者が離職してしまうことを常に想定しておかなければなりません。情報管理者が離職前に全てのパスワードを後任へ「きちんとわかる形」で「他者に漏えいせず」引き継げるなら大丈夫ですが、その引継ぎがきちんとなされているかを経営者が確認することが適切です。
「ちゃんと引き継いだよね?」と質問するだけでは不十分です。きちんと見える形で確認すべきです。

外部からの不正アクセス、情報漏えい

万が一、パスワードが漏えいしたり、前任の情報管理者がパスワードを記憶していた場合、そこから引き起こされる問題として「外部からの不正アクセス」や「情報漏えい」 があります。
悪意を持った人間が外部からの不正アクセスを出来てしまうと、社内の情報が消されるなどというようなことが起こります。

タイでも「個人情報保護法(PDPA)」が制定されましたので、企業として情報漏えいには最大限気を付けなければなりませんが、パスワード管理がしっかりしていないために情報漏えいが起こる可能性も出てきます。

店舗でも実害

スタッフに Facebook でのプロモーションの告知などを任せていた飲食店にて、いつの間にかその Facebook ページが使えなくなってしまい、お客様からは閉店したと勘違いされていた飲食店がありました。管理していたスタッフが離職後に店への嫌がらせとして、ご丁寧に Facebook ページの内容を書き換えてからパスワードを変更してしまったという実例です。

お勧めの管理方法

パスワードはどのように管理するべきかを説明します。

パスワード管理ルールの作成

パスワードの管理で最も大切なことは、まずは、誰がどのように管理するかというルールを作成することです。当たり前だと思われるかもしれませんが、色々な場面でどうするかというルールはあまり考えられていないことが多いです。
例えば、パスワード管理者が休暇中、社内にいるスタッフがどうしてもパスワードが必要になったが、スタッフへはパスワードを教えてはいけないことになっている場合、などです。普段はスタッフへはパスワードを教えないのですが、このような場合にスタッフがパスワードを知ってしまい、そこから漏えいしてしまうケースが多くあります。

様々な場面に対応した、「パスワード管理ルール」の作成は難しいですが、日本に本社があるような企業なら、本社の情報管理部署の持っているルールをそのまま、もしくは、タイ独自の事情を加味して修正し、利用するのが好ましいと思います。

経営者が自ら管理するという気概を持つ

しかし、ルールがあってもそのルールが守られるとは限りません。ルールがきちんと守られて運用されているかのチェックも必要です。
このチェックをスタッフ任せにしてしまうと結局管理しきれていない場合がありますので、スタッフ任せにするのではなく、経営者が自ら管理するというくらいの気概を持って管理しないと、このタイではなかなか管理しきれません。

    PR    

弊社では、パスワード管理ルールの作成 のお手伝いから、パスワード管理の請け負い、また、わからなくなってしまったパスワードを探す お手伝いなどのパスワード管理全般に関わるサービスを行っております。
経営者の日本人の方が直接弊社日本人へ連絡を取れる形になっておりますので、離職率の高いタイ人スタッフに任せるのではなく、経営者自らが直接管理する形をとることが出来ます。

是非お気軽にお問い合わせください。

お困りごと、ご相談

ご相談無料です。どうすればよいかの方針をアドバイスさせていただきます。

担当者が可能な限り迅速に返信致します。

タイトルとURLをコピーしました