「Excelシートでパスワード管理」のデメリット：半径300メートルのIT（1/2 ページ）

少し前の連載記事で紹介した「クラウドストレージのセキュアなフォルダに、パスワードのメモを置いて管理しましょう」という記事ですが……実は正直、ちょっと後ろ向きな手法だったのです。

　以前、このコラムにて「パスワードをクラウド上のExcelシートで管理に一手間加えて安全に」という記事を公開しました。Microsoftのクラウドストレージサービス「OneDrive」に追加された「個人用Vault」機能の紹介で、「クラウドストレージの中に暗号化フォルダを作って、その中にパスワードなどの重要な情報を入れ、明示的に機密情報を取り扱いましょう」という内容でした。

　この原稿を担当編集に渡す際に「でも実はこれ、後ろ向きな手法なんですよね」とメールに軽く書いていました。すると、後になって「どうして後ろ向きだと思ったんですか？」と聞かれましたので、今回はその理由と、それでもやってみてほしい理由を少し述べたいと思います。

実はそれ、立派な「シャドーIT」ですよ

　多くの企業で、クラウドストレージは「要注意ツール」だと思われています。一時期のUSBメモリと同じくらい警戒されている、といってもいいでしょう。情報システム部目線から見れば、クラウドストレージは外部に情報を持ち出す／漏えいさせるルートに他ならないためです。

　例えば、組織が「情報漏えいを防ぐため、業務に関わるデータは、指定の社内のサーバ以外に置いてはならない」というポリシーを持っていた場合、そもそも端末にOneDriveをインストールしてはいけませんし、たとえ暗号化されていようと「個人用Vault」に機密情報を保存してはいけません。これは「シャドーIT」になってしまうためです。

　これこそが、私が「後ろ向きな手法」と述べた理由です。

　とはいえ事実として、シャドーITは当たり前のように浸透しています。例えば、Slackなどのメッセージングサービスも、管理者に無断で使えばシャドーITになり得ます。個人のLINEアプリで業務連絡を取っているのだって、厳密にいえば未承認のBYOD（Bring your own device）によるシャドーITといえるでしょう。

　シャドーITの問題は、これまで企業が投資してきたファイアウォールやUTM（統合脅威管理）、IPS（不正アクセス防止システム）などのネットワークセキュリティ機器による防御ができなくなってしまう点にあります。企業が守っている範囲外で情報がやりとりされると、攻撃に対してノーガードになってしまうエリアが発生するのです。

　あまり余裕のない情報システム部門にとっては、こういった新しい仕組みは手っ取り早く「一律禁止！」としたいところでしょう。IT資産管理ツールを使ってインストールを禁止したり、社内向けに利用禁止を通達したりなど、皆さんの組織でも何らかの施策が行われているかもしれません。