セキュリティの対策と利便性は表裏一体だから天秤にかけてセキュリティレベルは決定すべきだと思う。

例えば、パスワードの話。

• Webで使用しているパスワードを統一するとひとつのパスワードがばれると複数のサービスを利用される。
• パスワードをずっと変更しないとばれた後の被害が増大する。
• パスワードをメモ書きとしてPCのそばにおいているとパスワードがすぐばれる。

上みたいなことって結構言われていると思う。んじゃ、上に書いたことを全てきちんとやればセキュリティ硬貨があることは認めるんだけど、これってケースバイケースじゃないのかな。

僕が思うに、パスワードを統一とか、パスワードを変更とか、パスワードをメモ書きとかって忘れないようにやってるわけで、パスワードを忘れてしまうよりばれる可能性があるって方が問題は低い。良くWebサービスで「秘密の質問」とかあって、秘密の質問に答えれたらパスワードを教えますよってのがあるけど、パスワードを忘れるような人が秘密の質問と秘密の質問の答えを覚えているかって言われたら覚えてないほうが多い。だから、パスワードを忘れてしまったらそのサービスを全く使用できなくなってしまうわけで、それならどうにか忘れないほうを選んだほうが良いんじゃないかな。

Windowsのグループポリシーとかを使用して動作をがっちがちに制限してしまえばセキュリティはあがるでしょう。プロキシーサーバを導入して、閲覧制限とかを使えばセキュリティはあがるでしょう。毎日ハードディスクの全領域にウイルスチェックをかければセキュリティはあがるでしょう。でもそれって本当に意味があるの？

そりゃ、非常に高い個人情報を扱う会社であればやらなければいけないかもしれないけど、30人ぐらいの小さな会社で周りがセキュリティ・セキュリティって騒いでいるからわが社でもやるかってレベルでやっても全く意味が無いと思う。動作が制限されればやりたいことが出来なくなるし、閲覧制限をかければ調べ物がやりにくくなる。ウイルスチェックをかければ動作が重くなる。どれもこれもセキュリティのレベルが上がるが利便性は下がるんだよ。

あの会社がここまでやってるからわが社でもこういうセキュリティ対策を行います。ってのじゃなくて、会社に応じたセキュリティレベルを考えてきちんと社員に説明を行ってセキュリティ対策を行うことが一番セキュリティレベルが上がるんだと思う。セキュリティ対策には社員の協力が不可欠で、そこをきちんとしないと絶対にうまくいかないんだから、動作を制限してセキュリティレベルを上げるよりも、動作の制限はほどほどにして社員にやってはいけないこととその理由の説明に力を注いだほうがよっぽど有用だと思う。

もちろんこれはクライアントサイドの話ね。サーバサイドのセキュリティ対策は上の話とは全く別で全力で行うべき。