現在参加しているあるプロジェクトでの話です。そのプロジェクトでは、独自のシステムを用いて特定の情報を管理していました。その情報を参照したり、更新したりするメンバにはシステムへログインするためのユーザIDとパスワードが渡されていました。渡されるパスはランダムではなく、わかりやすいもので、与えられたメンバはすぐにパスワードを変更することを推奨されていました。

　もともと、ほとんどの情報を管理しているシステムにアクセスできるユーザIDを保有していたのですが、先日別の独自システムで管理されている情報の更新が必要になりました。そこで、システム管理者に新規ユーザIDの発行を依頼したのです。ユーザIDの発行通知は、システム管理者からではなく、システム管理者がリーダーを務めているチームのメンバからきました。そこには、気を利かせたことを示す一文がありました。

「既にユーザIDを与えているシステムのものと同じユーザIDとパスワードを使いました」

　この一文が意味するところは、「貴方のユーザIDとパスワードを他のシステムからコピーしてきました」ということです。それはつまり、「ユーザID発行のために貴方のパスワードを知りました」と言っていることと等しいのです。ここには2つの問題があります。

　1つはシステム管理権限を持つ人間であれば、メンバのパスワードを見る事ができるということです。データとして暗号化されていないのか、管理者であれば複合したデータを見る事ができるのか、どちらかはわかりません。

　そしてもう1つの問題は、この通知を行ったのはシステム管理者ではないということです。その人は本来管理権限を持っていません。管理者でない人間でもパスワードを見る事ができるのです。

　プロジェクトの外に情報が漏れる事に対しては、メンバは皆、敏感です。しかし、プロジェクト内でしか用いられていない独自のシステムにログインするためのパスワードには、驚くほど意識が低いのです。簡単に他人のパスワードを見る事ができるのです。

　さて、この状況を知らない人はどんなパスワードを設定するでしょうか。ある人は最初に与えられたパスワードを変更せずに使うでしょう。ある人は簡単なパスワードに変更し、それを使うでしょう。そしてある人は、普段用いているものと同じパスワードを使うでしょう。つまり、おそらくは低くないある程度の確率で、その人が普段様々なサービスやシステムに用いているパスワードを知る事ができるのです。

　これは恐ろしい事だと思いました。なぜなら、おそらく誰もその危険性を考慮していないからです。悪用しようとする人がいないとは限りません。この状況に気づいた身としては、今からでも状況を変えるために行動すべきなのだと思っています。しかし、プロジェクトの規模と歴史にたいして、一朝一夕に変化を求めるのは難しいと感じています。最低限、自衛はしておいて、少しずつ、皆の意識を変えていければ……と考えています。