添付ファイルとパスワード問題
学生の頃からの「意味あるの」という疑問
仕事でメールを使わない日は一日たりともありませんよね。
最近はSlackやChatWorkを使う会社も多いですが、
やはりメールという手段は重要です。
特に外部の方や取引先に連絡するのに、
コミュニケーションであれば電話でもいいのですが、
エクセルファイルなどを送るときはやはりメールです。
このメール送信時によくあるのが、
「添付ファイルとパスワード別送」をするということです。
私は学生の頃「これは意味がない」と思っていました。
しかし、今では「結構意味あるよね」と考えています。
添付ファイルとパスワード別送問題というのは、
かなり長年認知されてきたのですが有効な策がないのです。
それはコンピュータ、ネットワークセキュリティ上の問題と、
人間の認知上の問題、そして経営的問題が複合的に絡み合ってるからです。
情報セキュリティ的に暗号化は意味がある
そもそもですが、添付ファイルの暗号化自体は意味があります。
暗号化の方法にもよりますが最近の方法であれば、
その添付ファイルが途中で盗み見られることはまずありません。
メールにはPOPやIMAPというプロトコルを利用しますが、
最近は「SSL」を利用した暗号化通信が主流になっています。
10年前までは暗号化されてない普通のPOPやIMAPでしたので、
「パケットが漏れる」ことは普通にありました。
パケット・モニタリング・ツールなどでメール・サーバとの通信中のデータを傍聴すると、
パスワードやメール本文などが簡単に解読できてしまう。
結果として、悪意のある第三者にパスワードを盗まれてメール・ボックスを不正利用されたり、
メールの内容が漏えいしたりする、といった危険性がある。
https://www.atmarkit.co.jp/ait/articles/0801/18/news126.html
Googleなどの検索エンジンでもSSL化が進んでおり、
今では「第3者が通信を傍受しても暗号化されている」のが普通です。
ただし、これも自分で気をつけてないとならず、
自動的にSSL化されてない場合もあります。
情報セキュリティ担当の方は、よくわからなければ、
今どんな状態で自社のシステムが運用されているか把握するのが先決です。
人的ミスを可能なかぎり減らす意味が極めて大きい
色々なサイトでも言われていることですが、
「メールの漏洩は誤送信が一番多い」ということです。
そのため、添付ファイルを外部に流出させてしまうのは、
ハッカーでもなく、悪意の社員でもなく、
「善意の普通の社員」だということです。
こればかりはうっかりミスでありながら、
大事になる可能性も秘めているので、
会社としてはできるだけ起こさせない仕組みを作る必要があります。
私の前の会社は、送信前にもう一度アドレスを確認する画面が出ました。
ここでアドレスや内容をチェックして始めて送られるのです。
かなり面倒でしたが最も有効な方法でしょう。
添付ファイルの送信においても、
まずファイルを送付するときにアドレスを確認する。
そして、パスワードを送付するときに再びアドレスを確認する。
この2段階で「確認する」ことができれば極めて有効です。
パスワード自動送付システムの有効性は手軽さにある
私が一番気になっているのはこのシステムです。
添付ファイルを添付すると自動で暗号化され、
メールも自動的にパスワードを記載したものが送られるものです。
これは「メールアドレスを間違えてたら無意味」ではあります。
ただ私は使ったことがないのですが、
このパスワード自動送信システムの本質的な価値は、
- Zipなど人の手で暗号化する必要がない
- パスワードが自動送信される前に送信者にアドレスが合っているか尋ねる
この2つにあるのではないかと考えています。
1は単純にわざわざパスワードを設定しないで、
メールにドラッグすればいいだけなので作業時間が削減できます。
そして、あくまでメールに添付したときだけ暗号化されるので、
社内でそのファイルを開くためのパスワード管理も不要です。
2は送ったあとに改めてシステムから、
「このアドレスにパスワードを送っていいですか?」
と聞かれるのでそこでまた確認できるということです。
そうすれば、あまり確認しないでドラッグアンドドロップしたファイル(暗号化済み)が、
誰かに届いたとしても、次パスワードを自動送信される前に再確認できます。
この2つのシステムがついているのであれば有効だと思います。
単純に自動的に暗号化され、パスワードが別送されるだけであれば、
間違った相手にパスワードも届いてしまいますからね。
結局社員が確認する仕組みをつくるべし
結局の所、コンピュータだけでこの問題は解決できないんです。
情報漏えいがハッカーによって起きたり、
パケット監視ツールで漏洩してしまうという、
あくまで情報技術的な問題であれば対策は十分取られつつあります。
一方で、最初から間違ったアドレスに送っていた場合や、
うっかり似ている別の人におくってしまった場合、
これは防ぐのがとてもむずかしいんです。
今後もコンピュータが自動で「これ本当にこの人にお送りするものですか?」
と確認してくれることはまずないでしょう。
理由は「厳しくすればするほど誤検出が増える」からです。
それをすると初めて送る人は必ず怪しまれることになります。
解決策としてクラウドに共有ファイルを保存するのは微妙
一方で「クラウドを使えば簡単じゃん!」という解決策もあります。
実際仕事で共有フォルダを外部とシェアする仕組みも、
結構導入されてはいますが、やはりこれもリスクはあります。
メールでの誤送信は減るかもしれませんが、
余計なファイルを保存してしまうリスクが増えます。
ここでも「ハッカーによる攻撃」や「クラウドの漏洩」リスクは低い。
やはり人的なミスで漏れてしまうだけです。
しかもクラウドの方がひと手間かからないので、
保存が簡単ですからよりミスも増えます。
絶対に防ぐことはできないが現時点でのベストを尽す
結局の所、添付ファイルとパスワードの別送問題について、
経営者がリスクを考えて、ベストを尽くすほかないのです。
ベストというのは自社に求められているセキュリティ程度を把握し、
自社の経営資源がどれだけセキュリティに掛けられるか、
業務の遂行にどれだけ影響を与えるかを認識して尽くせるものです。
確かにパスワード別送は面倒ですが、
パスワードを送る際に改めてメールを確認するということを、
怠らなければほとんど防ぐことができます。
これは社員にしっかりと伝えることでできる方法です。
余計なシステム導入をしなくてもすむ上に、
システムがあるからという慢心が起きずに済みます。
口を酸っぱくして、確認するように言いさえすれば、
添付ファイルとパスワード別送というのはベターと言えます。