IT関連

パスワード付き添付ファイルは本当に無意味?

おはようございます。こんにちは。こんばんは。
ミッドです。

ダイヤモンドオンラインのコラム記事で、「「パスワード付き添付ファイル」が無意味どころか社会の害になる理由」を読んだので、IT会社に勤務している立場で意見を述べたいと思います。

パスワード付き添付ファイルって何?

企業にお勤めの人は説明しなくてもお分かりかと思いますが、説明しておきます。一般企業では、セキュリティを高めるため、メールでExcelやWordなどのファイルを送付するときに、ファイルを圧縮ソフトで「パスワードを付けて」圧縮したファイルを、メールに添付します。

これがパスワード付き添付ファイルと呼ばれるものです。圧縮解凍ソフトは、「Lhaplus」や「7zip」などいろいろありますが、圧縮形式は「ZIP」が使われることがほとんどです。

Windows標準の機能でも圧縮することはできますが、パスワードを付けることができないので、こうした圧縮解凍ソフトを利用する必要があります。

下記にLhaplusでパスワード付き圧縮ファイル(ZIP)を作成する方法を図に示します。

作成した圧縮ファイル(暗号化されている)を添付してメールを送り、添付したメールとは別のメールでパスワードを送付することで、セキュリティが上がるという訳です。

パスワード付き添付ファイルのメリット(セキュリティが上がる?)

パスワードを付けたファイルを送るメリットは、記事の中で大きく2つだといわれています。

  1. 暗号化することで、第三者がファイルをネットワーク経路で不正入手されても情報を保護すること
  2. パスワードを別メールにすることで、誤送信時にファイルの中身を見られないこと

そして、①は途中の経路で不正入手できるのであれば、パスワードのメールも取得できるだろうし、②も最近は圧縮したファイルとパスワードを送付するというサービスがあるので、送付先を間違えたら、そもそも誤送信の防止にならないと言うことですね。

②はその通りだと思います。世の中の情報漏えいやセキュリティ事故の事故事例を見ると、メールの誤送信は腐るほどあるので、それを利用するのが人間である以上、ミスは0にはできないので、パスワードを分けるという行為に意味はないのかもしれません。

パスワードを別メールで送るのではなくて、あらかじめ双方で任意のパスワードを取り決めておく方が、誤送信の防止になるかと思います(ファイルが送られるが、パスワードは送付されない)。あとは、ファイル送る人と、パスワード送る人を分けて、ダブルチェックするとかですか?

①は意味が無いは、少々言い過ぎな気がします。確かに途中のネットワークでパケットをすべて取得されれば、パスワード付き添付ファイルのメールも、パスワードの記載されたメールも手に入ることができます。しかし、ネットワークに流れる情報は膨大なので、この会社から重要な情報の入ったメールが送付されると、ある程度知っていて、その時に情報を取得できれば、です。

むしろ、ネットワーク経路で盗聴するより、ウイルス付きメールを送付して開封させて、遠隔ソフトで情報収集した方が、簡単な気がします。

代替方法は?

とはいえ、パスワード付き添付ファイルのメールを送付するのが労力だというのは、わかります。そのため、相手と情報共有するために、メールでファイルを送付する以外の方法には何があるかというと、DropboxやBOXなどの「ストレージサイト」や、LINE WORKSやChatWorkのような「チャットツール」が代替手段として利用できるかなと思います。

メリットは、メールのような誤送信はなくなるのと、ツールによっては相手にダウンロードを許さず、問題のあるファイルだったら削除するなどができることです。また、更新日付が容易にわかるので、メールを遡らなくても最新ファイルを見つけられたり、更新管理は便利かもしれませんね。

デメリットは、一般企業はストレージサイトを基本的に許可しておらず、相手の企業が自分の企業と同じストレージサイトを使えないとか、パソコンの管理者権限がないので、チャットツールなどを入れられないということがあり得ます。

現在は、メールという「共通の手法」を「多くの企業」が利用しているので、どうしてもメールで送付するという手法から離れることができないと私は感じます。この流れを変えるには、政府がデジタル庁で日本のIT化を推し進める中で、「安全」で「誰でも」使えるツールを日本全体で考える必要があるでしょうね。

うちの会社は明日からメール辞めて、全部ストレージサイトでファイル授受します!って言って、相手の企業も、おっしゃ!うちもストレージにするぜ!みたいなノリで変えられたら良いんですけどね。ルールとか、費用とか、運用方法とか、めんどくさいしがらみがいっぱいありますね。

まとめ

パスワード付き添付ファイルが無駄か?という点に関して、私は無駄な面もあるが、多くの企業がストレージサイトやチャットツールに移行できない今の状況では、致し方ないものかと考えます。(移行するにも、自社だけ動けば良いというものではない)

工夫した運用を行えば、誤送信によるリスクも抑えられますが、人間が行う以上はメールであってもストレージサイトであっても、誤送信や公開範囲誤設定などは発生しうるので、セキュリティという観点では、「仕組みで防ぐ」+「人を教育する」+「ミスを起こしにくい手順を作る」+「監査する」などの複数の行程で考える必要がありますね。

利便性とセキュリティはトレードオフの関係にあるので、社員の利便性を考えつつ、発生するセキュリティリスクに対して、どこまで許容できるかをきちんと分析しないといけないですね。

ではでは

にほんブログ村 サラリーマン日記ブログ IT系サラリーマンへ
PVアクセスランキング にほんブログ村