システム開発コラム集
Aceessでのシステム開発に関するコラム集です。
160.Accessでのシステム開発でありがちなセキュリティの落とし穴 -IT管理者・情シスの不安を掘り起こすセキュリティ視点
Accessでのシステム開発は、コストを抑えて素早く業務に合った仕組みを作れる点で、中小企業にとって非常に魅力的な選択肢です。特に社内に専任のエンジニアがいない場合でも、比較的簡単に導入・運用ができるというメリットがあります。しかし、Accessでの開発に慣れていないまま運用を始めると、思わぬセキュリティの落とし穴にはまるリスクがあります。
Accessはデータベースとフロントエンドが一体型であることが多く、ファイル単位での取り扱いが基本です。この構造が、簡便さと引き換えに情報漏洩や不正改ざんのリスクをはらむ原因となっています。たとえば、パスワード管理が甘い状態で共有フォルダに置かれたAccessファイルは、誰でも中身を開けてしまう可能性があります。Excel感覚で使えるがゆえに、ファイルの取り扱いに対する危機意識が薄れやすいのです。
さらに、Accessでのシステム開発においてありがちなのが、複数ユーザーでの同時利用時の制御不足です。ファイルサーバ上のMDB(またはACCDB)を共有する運用では、データ破損のリスクや、意図しない情報の上書きが発生しやすくなります。これはセキュリティというより信頼性の問題ですが、結果として情報の正確性を損ない、管理上のリスクを高めてしまいます。
また、VBA(Visual Basic for Applications)を用いたAccessの拡張機能は非常に強力ですが、その分、マクロやコードによるバックドアや予期せぬ動作が入り込みやすいという側面もあります。誰が何を実装したのか、どういったロジックが動いているのかをきちんと管理しなければ、メンテナンス時に大きな障害を引き起こす可能性もあります。
Accessでのシステム開発は、確かに「すぐに使える」「コストをかけずに業務改善ができる」という大きな魅力を持っています。しかしその反面、セキュリティ対策を後回しにすると、企業の信用問題に発展しかねない重大なリスクをはらんでいます。
もし、Accessを使った社内システム開発や運用において少しでも不安を感じているのであれば、「なぜ今、Accessでのシステム開発が見直されているのか」「どんな対策をとるべきか」という視点で、一度立ち止まって点検してみることをおすすめします。
Accessの導入そのものは間違いではありません。ただし、「便利」だからこそ、セキュリティを意識した設計と運用が必要です。情報資産を守りながら、Accessの利点を最大限活かすには、正しい知識と適切なルールづくりが不可欠です。
Accessでのシステム開発に取り組むすべての中小企業にとって、セキュリティは「あとから考えること」ではなく「最初から組み込むべきもの」なのです。