どの警告メッセージか
「ユーザー名とパスワードは、セキュリティで保護されていない接続で基本認証を使用して送信されます」という警告メッセージです。
何を意味する警告メッセージであるか
以下2つの実態を意味する警告メッセージです。
- ユーザー名とパスワードを、セキュリティで保護されていない接続でやり取りしている
- ユーザー名とパスワードを、暗号化せずに平文でネットワーク上に流している
- 「基本認証」というのは、「ユーザー名とパスワードを暗号化せずに平文で流す」ということ
許したくない理由
このような警告メッセージを出してしまう業務環境というのは、「相当に価値観が古く、世の流れに背を向ける環境である」ためです。 「人手不足」と言われて久しい雇用情勢のもとで、「世の流れに背を向ける業務環境」というのは、それだけで採用の足枷になりえます。
具体的には、以下の点で価値観の古さを感じるのです。
- 「社内LANなら安全」というのは、もはや古い考え方である
- 「ロケーションフリー」という世の流れに背を向けるものである
以下、それぞれ説明していきましょう。
「社内LANなら安全」というのは、もはや古い考え方である
「ユーザー名とパスワードを、セキュリティで保護されていない接続で暗号化せずにやり取りする」というのは、明らかに「社内LANは安全である」という考え方に基づく運用実態です。
何が「古い考え方」であるかについて説明していきましょう。
前提として、ここ10年くらいでも、情報セキュリティに対する脅威は大きく増大しています。 とりわけ、「社内LAN内部からの情報漏洩」という脅威の増大が顕著です。 「社内LAN内部からの情報漏洩」に関する具体的な脅威としては、以下のような事柄が挙げられます。
- 標的型攻撃の一般化
- 内部犯行による情報漏洩のリスク増加
- 情報漏洩発生時の社会的影響の増大
これだけ社内LANに対する脅威が増大している昨今において、「社内LANは安全である」という考え方に基づいて構築・運用されている社内LANは、間違いなく「古い考え方」です。 もはや従業員が会社に不信感を抱くレベルの欠陥である、そう言ってしまっても過激ではないと思います。
「ロケーションフリー」という世の流れに背を向けるものである
働き方の多様化により、デスクワークについては「オフィスで働く」以外の働き方が注目される時代になりました。 そうした「ロケーションフリーな働き方に向かう」という世の流れにおいては、業務システムも「社内LANというセグメントを設けず、インターネットのみで完結する」という方向に向かっていくものと推測されます。
「業務がインターネットで完結する」という状況において、「セキュリティで保護されていない接続で情報をやり取りする」というのは、情報漏洩のリスクが極めて高い運用形態であることは間違いありません。 あまつさえ、「ユーザー名とパスワードを平文でやり取りする」というのは、「どうぞ情報を盗んでください」と宣言しているようなものではないでしょうか。
「業務がインターネットで完結する世の中を想定していない」この点で、「ユーザー名とパスワードを、セキュリティで保護されていない接続で暗号化せずにやり取りする」というやり方は、「ロケーションフリー」という世の流れに背を向けるものなのです。
