パソコンを利用していると、まれにアカウントロックという状況が発生します。

パスワードを規定回数間違えたため、解除するまでアカウントが利用出来なくなるものです。

ネットの会員サービス等を利用している方は、よくご存じかと思いますが、

会社のパソコンにも利用しているところが多くあります。

 

では、なんのためにこのような仕組みを導入しているかですが、

当然に、他人にアカウントを利用させないためで、何度もパスワードがトライできると、

アカウントを盗まれる可能性が高まるからです。

 

ということは、本人がパスワードを間違えた場合は、

本来であればロックの必要はないはずですが、

この仕組みでは、パソコンが本人かどうかの判断をパスワードで行っているため、

本人の入力誤りにおいても、同様の状況が発生してしまいます。

 

つまり、本人かどうかを別の仕組みで確認できるのであれば、

そもそもパスワードの入力すら必要がないわけです。

 

指紋認証や静脈認証、発行されたカードによって認証する場合は、

パスワードの入力から解放されるだけでなく、

複数の複雑なパスワードを人間が記憶しておく、

というリスクすら回避することが可能です。

ただし、そのような仕組みには専用の機器や第三者証明等が必要で、

まだまだコストの問題から導入は難しく、

簡易なパスワード認証を利用しているところがほとんどです。

 

一般的な企業のネットワークは、社外と分断されており、

ドメイン参加も制限されているであろうことから、

アカウントハックは社内のＰＣから行われるものと思われます。

つまり、犯行を疑うのは社員となりますが、

自社に損失を与えようとする社員は少ないものと思われます。

それに引き替え、自身のパスワードを間違える可能性や、

他者がアカウントを間違える可能性は比較的高いものとなり、

ロックの解除を行う人からすると、「この人はまたパスワードを間違えたのか」

と感じてしまうのは、ある程度仕方のないことなのかもしれませんが、

これを繰り返していると、本当にアカウントハックのトライが発生しても、

気付けない状況が出来上がってしまいます。

 

本人に間違えた覚えがない場合、入力誤りよりもアカウントハックの危険性を

心配するべきであることに注意しましょう。

（調べるのが面倒なこともあり、絶対に本人の入力ミスだと決めつけるＩＴ担当が多いように感じます）

システム関連の製品の中には、ディザスタリカバリやフォールトトレランスの性能を売りにしているものがありますが、

これらは、どれだけ不測の事態を考慮しているかをアピールするものであって、

ここまでやっていれば絶対に大丈夫、というラインが存在しません。

つまり、セキュリティー対策と同じで、考慮すればするほど良いが、

役に立つかどうかはまったくの未知数であるため、どこまで投資すべきかが難しい、

という内容になってきます。

障害対策やセキュリティ対策が万全であればある程、問題が顕在化せず、

費用に対する効果が不透明となるからです。

逆に、問題が顕在化した場合は、対策が甘かったと判断されますが、

どんなに費用をかけても、障害対策やセキュリティ対策が十分であるという状況は存在しませんので、

まずはそのことを理解してもらう必要があるでしょう。

ある製品を選定し、導入後に何らかのトラブルが発生した場合、他の製品の方が良かったのではないか、

と指摘されないように、選定時点で、本製品にて起こりうる問題は、他の製品でも発生する、

という確証を得るとともに、周知しておく必要もあるでしょう。

 

以前、あるセキュリティ製品の契約において（私の担当ではありませんが）、導入時点で問題が発覚し、

役員、コンサル、社内SEが総出で、先方を取り囲み、契約破棄を迫ったことがあります。

無事に購入を取りやめることはできたのですが、その際にコンサルがかなりきつく先方を非難したことが

忘れられません。

（契約を担当した者にとっては、頼もしく映ったでしょうが、私からは悪の手先のように見えました）

たぶん、そこまでしなくても、先方は今後の関係性を考慮し、同意してくれたでしょうし、

導入直前まで気付かなかった当社の落ち度もあります。

会社の状況からして、金額的な問題も些細なものでしたので、組織内での体面が一番の問題であったことを考えると、

先方にも落ち度はありましたが、災難であったと感じます。

 

実はそれ以前にも、私自身がコンサルとやり合うことがあったのですが、

彼らは知識のみで語る上に、非難するのが仕事かと思うほど、問題点ばかりをあげてきます。

例えば、担当者に伝達が必要なイベントについて、ｅメールを利用してはどうか、という提案に対して、

「ｅメールは１００％届くとは限らない」等と言い出したのですが、

そんなことをいったら１００％のものなど存在しません。

そもそも非難することは簡単で誰にもできることですので、指摘するならより良い案を同時に出すべきと感じますが、

いかがでしょうか。

そんなこともあって、私自身はコンサルが大嫌いなのですが、会社的には、社員の判断による

トラブル発生は避けたい（責任追及が出来ない）ので、コンサルを通して欲しい、と要求してきます。

しかし、コンサルも当然保身に走り、スムーズなシステム提供に支障をきたします。

これを仕事と割り切れればよいのですが、システム関与者は、円滑な作業環境を提供するために働いているわけで、

どうしてもこの矛盾から逃れられません。

一つだけこの状況を回避した例があるのですが、そのお話はまたの機会とします。

（社内ＳＥという職業自体については「社内ＳＥについて」に詳細や経験談、アドバイス等を記載しています）

社内ＳＥといっても、会社の方針によって業務形態は様々かと思いますが、私の場合は、運用や開発に関連する業務を

一通り経験してきました。

 

難しい作業というのは多々ありますが、中でも理解され難いものとして、システム販売の営業員対応があります。

例えば、現場にターゲットを絞った製品等は、作業員にご提案させて欲しい、と言われたりするのですが、

提案する立場の社内ＳＥとしても困りますし、作業員も、こちらで決めていいの？と困惑します。

また、何らかの購入を行う際も、複数社に見積もりを頂くと、状況確認の電話がかなり頻繁に掛かってきます。

（利用先が増えると、社名やお名前から、即座に回答を導き出すのも困難となってきますが・・・）

当然にお断りすることになる会社が発生しますが、このようなことを繰り返していると、毎回お断りしている会社が

出てきて、非常に気まずい状況となります。

 

その他にも、何らかの稟議申請を行う場合、稟議内容について、役員等にきびしい指摘をされることがあります。

この稟議申請というものは、その内容を要望した人が書けば、問題が少ないのですが、

現場や特定の人物からの要望に基づいて、製品選定を行い、購入に際して稟議申請となると、

正直、社内ＳＥ側は、どうしてもこれを導入したいと思っているわけではありませんので、

細かな内容を指摘されても、あまり反論できません。

システム関連の導入においては、システムの知識が必要ということで、社内ＳＥに稟議申請が依頼されますが、

怒られるのは割に合わないですし、稟議が通らなければ、現場も困ってしまうという、板ばさみ状態となります。

 

挙げるときりがないのですが、最後に一つ言っておきたいことは、

現場とあまりに業務内容が異なることから、適正な評価が行われているかどうかが、

本人にもよくわからない、というのが大きな問題かと思います。