Scribble at 2023-03-25 08:56:25 Last modified: 2023-03-25 09:01:28

記事のタイトルを見ると、右肩に小さく申し訳ていどに "Sponsored" と書かれている。記事を読んでいくと、そもそも「パスワード管理ツール」というのを何の根拠もなくクラウドの管理サービスだと愚かにも断定し、そしてそれの仕様や構築・運用に問題があるから、弊社のサービスをどうぞというクロージング・トークに落とし込んでいるだけの営業記事だ。情報セキュリティの人間が SE みたいな口先営業をするのは、もちろん構わない。日本なんていう後進国のネット企業では避けられまい。でも、こういう競走馬（最初から一部の風景しか見えていない状況で戦う）みたいな set up を情報セキュリティの人間が語るのは、やはり営業的に仕方ないというサラリーマン的な寛容さでは受け入れられても、技術的・理論的には全く論外の与太話でしかあるまい。

僕のような真のセキュリティ人材に言わせれば、こんなものは簡単な話である。ユーザそれぞれの責任において、どういう環境でも安全に機密情報を保護できるようにするというなら、まず最初にやるべきなのは、機密情報をリモート・サーバに置くのをやめることだ。そして、色々な端末なり事業所で同じ機密情報を運用するためにクラウド・サービスを使うのであれば、それはパスワード管理ツールの仕様として認証の条件をどうするかという問題では解決しない。どのマシンであれ、キー・ロガーなど色々な脅威に対抗するだけの措置を同じレベルで運用していない限り、これは情報セキュリティの常識ともいえるが、最も弱いところが攻撃されてしまう。したがって、可能ならまずは複数のマシンや事業所で同じシステムにアクセスしなくてはいけないという業務フローやビジネス・プロセスを見直すことから始めるのが効果的だろう。

たとえば、クライアントのサイトを更新する作業があるとして、ウェブの制作会社ではありふれた受託案件の作業だ。いまではリモート・ワークを導入している会社も多いため、相当な数の事案で会社のマシンと自宅のマシンからクライアントのサーバへアクセスして作業するという人がいるはずだ。しかし、そうすることが自明でも安全でもないのは当然であって、更には会社と自宅からクライアントのサーバへアクセスして作業できるという見かけの「効率」が本当にサービスになっているのかとか、会社の利益になるのかという観点から考えると、これもただちに適切なことかどうかは言えなくなる。もちろん、わざと非効率なことをして余計に作業料金を請求するといった IT ゼネコンや官公庁コンサルのようなことをやれと言いたいわけではなく、情報資産のリスク・レベルをいたずらに引き下げることがクライアントの利益になっているのかどうかという観点でも考える必要があると言いたいだけである。本当に、あなたが自宅で作業しているマシンは、会社で使っているマシンよりも安全なんだろうか。もっとも、たいていのウェブ制作会社なんて会社でも自宅でも同じくらい危険なのであろうから、クラウドかローカルかという議論をする以前の問題が大きいと思うが。