あらすじ/概要
実務未経験から情シスに転職して約二ヶ月。
従業員約300名規模、都内に2拠点、地方に4拠点の会社(非IT業種)で上司と2名体制で情シスを回す日々。
とある日、社内ブログのパスワードを変更してほしいとの問い合わせがあり、何の事かと確認してみると・・・
こんばんは、ばーふぃんです。
社内での共有事項に、社内ブログを運用している企業も多いのではないかと思います。
社内でのイベントや行事関連、新入社員の入社、MVP社員の表彰、日常業務の様子への密着、等の情報共有を通じて社内の活性化を図るために使われるケースが多いかと思います。
社内ブログは、グループウェアの社内ポータルサイトに盛り込まれているケース、独自の社内ブログのサービスを利用しているケースが一般的かと思います。少なくとも、社内ブログなので外に出ていい情報は基本的にはないため、閉じられたセキュアな環境で運用されていて、基本的にはユーザ各々に社内ブログへアクセスするためのアカウントとパスワードを使用してログインを行います。
なのですが、先日、総務の人から社内ポータルサイトのパスワードを変更してほしいとの連絡がありました。
社内ポータルサイトのパスワード?きっとその総務の人がアカウントのパスワードを忘れてしまったため初期化してほしいということなのかと思い、話を聞いてみると、どうやらそうではない様子。
この話から、やってはいけない社内ブログの運用をしていることが分かったので、この場で紹介したいと思います。毎度のことながら、みなさん絶対に真似しないでくださいね!
セキュリティホールだらけの社内ブログ
さて、私がいる会社では事業部ごとに(計5つ)社内ブログ(?)が用意されていて、ここに社内の共有事項が投稿されていたり、社員の連絡先も一覧表示されているページもあります。それ自体は至って普通な社内ブログや社内ポータルの運用です。
そして、その全てがWordPressで構築されています。
始めに言っておきます。WordPressで社内ブログが構築されているのは決して悪いことではありません。
が、それはきちんと保守やメンテナンスを行えていればの話です。
結論から言うと、私がいる会社の社内ブログは、ここが全くちゃんと行われていないため、セキュリティのセの字もない状態です。
脆弱性対策一切なし
WordPressはオープンソースのCMSで、非常に手軽に導入することが出来ます。サーバにテーマをインストールするだけで、レイアウトやデザインを気にしなければ、ブログとしては簡単に成立します。
私のこのブログもWordPressを使用していますが、非常に便利で重宝していますし、ある程度のことは分かります。
反面、使用しているユーザが多く、オープンソースであることから、セキュリティの脆弱性を突かれ狙われやすいという弱点もあります。
そのため、WordPressで自社サイトや社内ブログを構築する際は、WordPressでのWebサイト構築実績の多い企業に構築をお願いするか、百歩譲って自社で構築するとしても最低限テーマの更新くらいはタイムリーに行っていく必要性があります。
はい、残念なことに私がいる会社の社内ブログでは、テーマの更新も全く行われていませんでした。
理由は、更新を行うことでレイアウトに崩れが起きる可能性があるためです。
その問題は、子テーマという仕組み(詳細はここでは触れませんが)を使用することで回避出来るということを私は知っていたので、上司にそれを聞くと、
「知ってたけど時間なかったからやらなかった」
いや、だからそうじゃねえだろ・・・このあたりから上司のことをなんだこいつって思いはじめてますw
アクセス権限の管理が煩雑
さて、上記で社内ブログは社内ポータル内に設置されているケースがあるとお話ししましたが、私がいる会社には社内ポータルサイトがなく、代わりにインターネット上に公開されたリンク集を使用しています。
詳細はこちら
私の会社の社内ブログも、このリンク集にリンクが貼られています。
ということは、
はい、見ての通り、インターネット上の誰からもアクセス出来てしまう環境にあります。
そのため、とりあえずの処置としてブログには社員共通のパスワードがかけられています。
これの何が問題かというと、みんなが同じパスワードを使用しているということは、退職者が出たらその都度パスワードの変更が必要になります。少なくとも私の会社では、ここ2ヶ月で6人の社員が退職しています。しかも、退職日はバラバラです。
月に何度もログインパスワード変更が行われる社内ブログなんて誰も見ませんよね。
ということで、結局パスワードの変更は3ヶ月に1回としているとのこと。つまり、その間は退職者は社内ブログ見放題w(笑い事じゃないけど)セキュリティすっかすかです。
また、上述の通り私の会社では事業部ごとに社内ブログが構築されているため、それぞれパスワードの変更を行う必要があり、変更をしては周知をするという業務が発生しています。無駄でしかありませんね。
誰が保守するのか問題
さて、この社内ブログ、自社で構築(構築といってもホスティングWebサーバの適当なディレクトリにインストールされただけですが)をされています。
ということは?不具合等が起きた際は当然自分達で対応、切り分け、復旧しなければいけません。
この会社がIT企業なら、Web制作会社なら、まだよかったでしょう。その道のプロ集団なんですから誰でも対応出来ます。
しかし、私がいる会社はただの事業会社です。WordPressのことを社内で分かるのは、おそらく上司(子テーマもやらないレベル)と私(プライベートで使ってるからたまたま分かるだけ)だけです。いなくなったらどうするんでしょう?
まとめ
再三になりますが、WordPressでブログを構築することは別に悪いことではありません。
問題なのは、運用方法と体制です。
コストを割きたくなくて、無料のオープンソースを使用して自社で環境を準備するのは大いに結構ですが、きちんとセキュリティを担保した運用状態にして、また、手順等を残して、導入者がいなくなっても簡単に引き継げるようにしておきましょう。
社内ブログに限らず、時間がないからとりあえず環境を準備した、というのはやめましょう。後でしわ寄せが来ますからね。
