便利にしたい事業側と、止めるレビュー担当者の話

システムのレビューをしていると、よく出会う構図があります。
それは「便利にしたい事業側」と「それを止めるレビュー担当者」という関係です。

先日も、そんな典型的なレビューがありました。

あるシステムで、オートログイン機能を実装していました。
ユーザーが一度ログインすると、しばらくはログイン操作をしなくても自動的にログイン状態になる、よくある仕組みです。

ただし、このシステムには次のルールがありました。

• 最終アクセスから3か月が経過した場合
• あるいは1か月アクセスがない場合

このどちらかに該当すると、再認証を求めるという規程です。

これはセキュリティの観点では比較的よくある考え方です。
ログイン状態を永遠に維持してしまうと、思わぬリスクが生まれるからです。

例えば、ユーザーが共有PCを使っていた場合やあるいはスマートフォンを紛失してしまった場合などです。
もしオートログインが長期間有効のままだと、第三者がそのままサービスを利用できてしまう可能性があります。

そのため多くのサービスでは、一定期間が経過すると再ログインを求める仕組みを設けています。
これは「面倒な仕様」ではなく、「ログイン状態を定期的にリセットすることで不正利用のリスクを下げる仕組み」です。

ところが今回、事業側から次のような変更要望が出てきました。

オートログインの有効期間を「1年以上」に延ばしたい、というものです。

理由はとてもシンプルです。
再認証が必要になると、ユーザーはログイン操作をしなければなりません。
この手間を嫌って、サービスから離れてしまう可能性があるからです。

確かにこれは、事業側としてはもっともな心配です。
ユーザー体験を考えれば、ログインは少ない方が良い。
可能ならば、ずっと自動ログインのままで使えた方が便利です。

しかし、レビューとしてはこの変更を認めることはできません。
理由はシンプルで、規程に反するからです。

多くのシステムでは、セッションの有効期間や再認証のタイミングについてルールが定められています。
これは、システムごとに好きなように決めてよいものではなく、組織として統一された基準に従う必要があります。

もし「このサービスはユーザーが離れるかもしれないから例外」という判断をしてしまうと、同じ理由で例外がどんどん増えていきます。
そうなると、セキュリティ基準そのものが形だけのものになってしまいます。

また、オートログイン期間を極端に長くすると、端末の紛失や共有端末の利用といった状況で不正利用のリスクが高くなります。
ユーザーが意識しないところで、長期間ログイン状態が維持されてしまうからです。

セキュリティレビューの役割は、「便利にすること」を否定することではありません。
しかし、決められたルールやリスクを無視してまで便利さを優先することはできません。

事業側の気持ちもよく分かる。
でも、それでも止めなければならない。
外から見ると「セキュリティが厳しすぎる」と思われることもあるかもしれません。
ですが、その「止める役割」があるからこそ、システム全体の安全性が保たれているのだと思います。

便利さと安全性は、いつも綱引きの関係にあります。
レビュー担当者の仕事は、その綱引きがどちらか一方に偏りすぎないようにすることなのかもしれません。