orangeitems’s diary

クラウドで働くインフラエンジニアの日々の感想です(ほぼ毎日更新)。

なぜ『ITの7つの無意味な習慣』が無くならないのかを現場から考える

f:id:orangeitems:20200103090701j:plain

 

『ITの7つの無意味な習慣』

セキュリティー対策にて企業が導入しているいくつかの所作について、全く意味がないどころか生産性を下げているのになぜ生き残っているか、という記事が話題になっています。

 

qiita.com

2019年の今年は「令和元年」であるわけだが、年初はまだ「平成31年」だったので、ギリギリまだ平成ともいえる。ところで、ITの世界にもいろいろな都市伝説や根拠は薄いけれどもかっちり守られているしきたり/習慣があり、少なくとも今の世界では通用しないため本当は改善したほうがいいのだが業界的にずるずるといってしまっていることが色々と存在する。年末の今、平成を思い返したときに元IT企業に勤めていた人間として「この習慣は平成のうちに終わらせておかねばならなかっただろうに!」と悔やまれることを7つ挙げてみた。

 

ここでは7つの例が上がっていてそれぞれ具体性があるのですが、なぜ残ってしまっているのかについては少し掘り下げが必要かと思います。

元IT企業、ではなく現在もIT企業に勤めている私が、残る理由について考察を行います。

 

考察

 

【7位】 2要素認証でない「2段階認証」

こちらは、取り上げるほど残ってはいない気がします。

最近実装されているものは2要素認証である2段階認証が多いです。

システム更改に合わせてこの手の認証は消え去っていくだけだと思います。

無意味かもしないけれど、お金をかけてまで変更するまでもないか、ぐらいの認識だと思います。

セブンペイの場合、2要素認証でない2段階認証「すら」実装されていなかったので、今から実装するのなら正しく実装すると思います。設計なんて、教科書通りやるのが鉄則ですから、教科書が間違えてなければ大丈夫でしょう。

 

 

【6位】 パスワード後送信付きZIP暗号化ファイルメールの無駄な処理

これね・・。

メール自体は、SMTPというプロトコルで、こちらが平文での通信をいつまでもやめないので、パスワード付きZIPファイルを送った後に、パスワードはこれですって平文で送るのがマヌケだという話ですよね。

企業はメールサーバーの前や内部にマルウェアチェックの仕組みを入れることが普通なのですが、それを無力化するために役に立つんですよね。

ーだめじゃんー

Gmailでパスワード付きZIPファイルをメールで受け取るとわかります。

f:id:orangeitems:20200103075603p:plain

そりゃぁ、Googleもパスワード解析してらんないよということです。多数のマルウェアチェックがあきらめちゃうのです。

ZIPパスワードは総当たりのパスワードチェック、ブルートフォース的なあれで破られるというのは最近のドラマでもやっていましたが、もしやろうとすると相当な時間も手間もかかります。その上で解凍できたとしても大したファイルでもないので、意味はなくもないのかなと思います。

が、よくよく考えると、他人に添付ファイルを送るときに、相手のメールサーバーで中身のチェックをされて受け取れないというトラブルを避けるための抜け道のような気がしています。

一方で、スパムメールは大部分が外国から送られてくるのですがパスワード付きZIPファイルではないので、逆に日本人が送ったんだよーという安心感が生まれるのもあります。パスワード付きZIPファイルなんて日本人しか使ってないのが逆に安心感を与えるという皮肉。

話を戻せば、そもそもメールという仕組み自体が平成初期(※注)にできたのに増改築を繰り返したせいで、古い基盤を使いまわしているのが悪いです。でもなかなか次世代のプロトコルが出ないんですよね。SlackだTeamsだChatworkだと言っても全部中央集権型ですから、どこかの会社が全部情報握るのは良くないということで。

 

※注

メールの仕組みがいつできたかについては以下の記事が詳しいです。

 

sendgrid.kke.co.jp

メールは元々7bitのASCIIを前提に設計されたため、日本語の送信には課題がありました。そこで、日本語のメール送信には国内インターネットの先駆けであるJUNETで開発された「JUNET コード」を使い、これを元に「 ISO-2022-JP」が作られました。ISO-2022-JPは1993年にRFC1468として公開されています。日本語のメール送信は今もISO-2022-JPが利用されることが多いのですが、最近はUTF-8の利用が増えています。

 

SMTP自体ができたのは1982年(昭和57年)。日本語でのメール送信は1993年(平成5年)。企業がメールを使うようになったのは1997年(平成9年)ごろくらいかなと記憶しております。

 

 

【5位】 出社してオフィスで使うことが前提のIT基盤

【4位】 企業ネットワークのインターネットとの接続口を1か所に絞る

大企業ならではかなぁと。

社長が社員の顔をおぼえてられないぐらい・・、おそらく1000人超えのあたりでそうなるんじゃないかなぁと思いますが、顔も見えない人のことを信用できなくなっちゃう。

ベンチャー企業など若い会社中心に、リモートワークが当たり前になっていると思いますがこれは人間関係が深い分、権限を与えられるということだと思います。

これが、アウトソーシングや非正規社員など、会社にいろんな人種が存在するようになるとどんどんがんじがらめになるというのは、おそらく日本に限ったことじゃないと思います。

このあたりの解決策としては、サテライトオフィスを各地に用意して、自宅と近い職場をいくつも作ることかなぁと思いますがいかがでしょうか。最近はNECの動きに注目しています。

 

cloud.watch.impress.co.jp

NECは、働き方改革に積極的に取り組んでいる。

 現在NECでは、BASEの展開以外にも、社員が利用できるサテライトオフィスを、外部企業と協力して約40カ所に展開している。これにより、時間や場所にとらわれずに仕事ができる拠点を拡大してきた。

 

 

【3位】 従業員の生産性を下げるIT環境

【2位】 紙原本主義/ハンコ主義

これはコメントしづらい。

パソコンやインターネットにかかる費用なんて、人件費と比べればごくごく小さいものなので、これに投資しないでいたずらに人件費を浪費する会社は滅びると思います。

もしボトルネックに感じることがあれば、会社を変えるか転職するかの二択じゃないですかねぇ。

 

 

【1位】 パスワードの定期的変更、パスワードでのログイン

この件はぜひコメントしたかった。

まずはWindowsのActive Directoryにおける標準的な設計が、パスワードの定期的変更をデファクトスタンダードにしてきたことが背景です。

多くの企業がまず、これを標準としていること。

大昔の運用作業においては、パスワードの定期変更作業というムダな仕事に結構な時間を取られていたのも事実です。・・・まだ残っている現場はありそうですが・・・。

さて、昨今パスワードの定期変更は意味がないということになりました。

 

www.itmedia.co.jp

 Microsoftは4月24日(現地時間)、間もなくリリースされるWindows 10の次期大型アップデート「Windows 10バージョン1903」(19H1)と「Windows Serverバージョン1903」について、セキュリティベースライン設定のドラフト版を公開した。

 今回のドラフトでは、「パスワードの定期的な変更を促していたポリシー」の廃止が盛り込まれたことが注目されている。Microsoftはこれについて、「パスワードセキュリティの現状に問題があることは疑いようがない」と認めている。

 

平成が終わる直前に出てきた話なのですから、平成のうちにやめたかったはちょっと言い過ぎなのではないかと思います。

令和のうちにやめたい、ぐらいでいいのかなぁ・・・と。

 

ちなみに、それでも大多数の企業はやめてないと思います。

なぜか。

「無意味だとわかったのでやめよう」

って先に行った人が責任を取らされるからです。パスワードの定期変更をやめたあとにハッキングされた場合「ほらみたことか」って誰かが後ろから刺してくるのが会社です(多分)。

ZIPパスワードについてもそうなのですが、既存のルールを弱める場合、それに対して責任を取るのは誰かというのが不明確で、言い出した人が悪いみたいになるので、なかなか弱まらないということになります。

実際は社長の判断になると思うのですが、社長も、めんどうなことになるぐらいなら現行通り行こうという発想になるので、「代替手段としてこちらを導入するので大丈夫です」なんて付帯条件をつけないとなかなか変わっていきませんね。

 

まとめ

現状何も起きていないなら、何も変更しないのが無難だ。

これにつきますね。

変えたら社員の労働満足度が上がるかもしれない。生産性が向上するかもしれない。ひいては売上も上がるかもしれない。

けれども。

変えたらセキュリティー不備による漏洩事件が起こるかもしれない。自分のクビが飛ぶかもしれない。会社が無くなってしまうかもしれない。

さあ、どっちを取るか。

みたいな話で、「大丈夫っすよ、記事も出ますよ、やりましょうよ」なんて話に耳を貸さない経営者の気持ちもよくわかります。

さてさて2020年になって、気持ちの良いセキュリティーが実装されるかどうか、IT業界全体の努力が大きいと思います。一般人にはよくわからないことを言ってもやもやさせるのではなく、一刀両断できるシンプルかつ盤石なセキュリティーメソッドを作り出す必要がありますね。業界全体の課題だと思います。