SaaSシステムを利用する際のセキュリテイ心得

　SaaSシステムを利用するにあたって、最も気になる点が、情報をインターネット経由でアクセス可能なサーバーへ置く事だと、僕は思っている。

　それは、映画『2001年宇宙の旅』で描かれたコンピュータHALに、自分から管理をお願いしに行くのと似ている行為だし、パソコンを自分の脳の延長（外部記憶・演算装置）として位置付けている僕なんかからすると、相当な勇気と覚悟が必要だ。
　国民総背番号制ならぬ、全地球人記号制みたいなものだ。これについては、もう少し書きたい事があるので、年明けまでに考えをまとめておく事にしよう。

　今年の11月に話題となった、フィッシング被害によるSalesforce.comの顧客情報流出事件を読んで、SaaSシステムを利用する企業の顧客情報などが、簡単に漏えいしてしまうかもしれないという危険性について考えてみた。

Salesforce.comの顧客が攻撃対象の危険に，社員のフィッシング被害で顧客リスト流出(2007/11/7 ITpro)
フィッシング詐欺でSalesforceの顧客リスト流出、偽メール出回る(2007/11/8 ITmedia)

　中小企業は特に、注意が必要なんじゃないだろうかと不安になった。
　普段から、業務でパソコンを使用していても、パスワードとかをパソコンに貼っておいたり、大声でパスワードを教えあったり、している会社って、あるんじゃないだろうか？
　なければ、いいんだけれども、なんだか不安だ。伝えておいた方がいいに違いない。

　少なくとも、ユーザー名とパスワードのログイン情報だけで、インターネット上の何処かから、顧客情報を勝手に取られてしまうかもしれないという事だけは、認識しておいていただかなければならないと思う。

　そんな訳で、書面を作成してみました。

インターネットCRMシステムをご利用の際のセキュリティ注意

　先日、米国におきまして、インターネットCRMシステムを利用している企業が、システム提供業者を装って、ログイン情報を盗み取り、顧客情報を不正に盗まれるという事件が発生し、セキュリティに関する問題点の再認識が注目されています。
　今回、新たにインターネットCRMシステム（オンデマンドもしくはSaaSと呼ばれるものを含む）を利用するにあたって、ログイン情報（ユーザー名とパスワード）が社外に流出してしまった場合に、顧客情報などが容易に流出してしまう可能性がある事を事前に御理解下さい。
　ログイン情報が社外に流出する可能性が高いと思われる要因と対策は以下のとおりです。

• フィッシング（なりすまし）詐欺などによる盗難。
  対策：詐欺に遭わないような心掛けと、遭った後の早期対策が必要です。

• 退職した社員やパート、アルバイトなどによる悪用。
  対策：退職後の該当者のログイン情報を即時停止する事が必要です。

• 在籍者による悪意もしくは不意による漏えい。
  対策：競合企業への売買をするような不満を持つ社員として育たないための社員教育や、不意に見てしまうような場所（パソコン画面や電話器など）へのメモ書きを禁止、定期的なパスワードの変更が必要です。

　情報セキュリティ犯罪や事故におきましては、新たな手口や状況が発生しており、まだまだ安心・安全な環境ではありませんが、対策サービスやソフトウェアの導入や最新情報の入手や交換を怠ることのないように心掛けるよう、お願い申し上げます。
　最後に、この件に関する追加情報として、セールスフォース・ドットコム社が提供している情報を添付させていただきますので、ご一読下さい。
参考：　http://www.salesforce.com/jp/security_profile_win.jsp

以上、よろしくお願いします。

と、こんな感じの文に、参考URLの内容を印刷して添付しようか。

　参考にしていただければ幸いです。過不足があれば、コメントや電子メールなどでご指摘いただければ、尚、幸い。

　施されるより、施せ。〔わをん〕