【オトナンサー】に掲載されました。
2019/01/16

【オトナンサー】に掲載されました。

暗号化ファイルを送付→パスワードを別送する方法、セキュリティー上の効果はある?

ビジネスメールに欠かせない「ファイルの添付」でよく見る「パスワードは後ほど別のメールで」という手法。安全面の効果やいかに。

「パスワードは後ほど別のメールでお送りいたします」。ビジネスメールのやり取りをしている人なら、一度は見たことのある文面ではないでしょうか。ビジネスメールに欠かせない「ファイルの添付」において、「暗号化したファイルを送付後、パスワードを別のメールで送る」パターンが多くみられます。セキュリティー対策の観点から取られている方法ですが、「本当に意味があるの?」「仮に1通目のメールが盗み見られたら、2通目を見ることも容易では」などと安全性を疑問視する人も少なくないようです。

 ネット上では「意味なさそう」「送り先を間違えた時には有効」「やらないよりはやった方がいい」など、さまざまな声が上がっています。「パスワード別送」によるセキュリティー効果はどのようなものでしょうか。一般社団法人日本情報技術振興協会(JAPRO)認定講師の久原健司さんに聞きました。

誤送信対策としては効果あり
Q.暗号化ファイルを送付後、パスワードを別送する方法は、日本では、どのような経緯で、いつごろから使われ始めたのでしょうか。

久原さん「国が設置した個人情報保護委員会が定める『個人情報の保護に関する法律についてのガイドライン(通則編)』には、個人情報を扱う事業者が講じなければならない措置として、『情報システムの使用に伴う漏えい等の防止』があります。この中で、中小規模事業者における具体的な手法の例示として、『メール等により個人データの含まれるファイルを送信する場合に、当該ファイルへのパスワードを設定する』との記載がなされています。

個人情報を適切に扱う体制があることを証明する『プライバシーマーク』を審査する、一般社団法人情報サービス産業協会(JISA)でも、2010年7月、『個人情報を含む添付ファイルを取り扱う際に、セキュリティー対策(データの暗号化、パスワード設定など)の措置を講じる』ことを審査項目へ新たに盛り込み、プライバシーマークを取得している企業内では、メール送信時のルールとして各社内で周知されています。

これにより、2010年7月1日以降、プライバシーマークを取得・更新している企業で、暗号化ファイルを送付後、パスワードを別送する方法が一般化されました。また、プライバシーマークを取得していない企業でも、『個人情報のセキュリティーに配慮した電子メールを送っています』というアピールとしてこの方法が用いられ、やがて日本企業での“お作法”になったと考えられます」

Q.同様の方法は、海外でも採用されているのですか。

久原さん「米国などの先進国やアジア諸国で採用されているという話は、聞いたことがありません。『グーグルドライブ』『ドロップボックス』など、クラウド上のセキュリティーが高い共有フォルダーや、『スラック』などのチームコミュニケーションツールでやり取りする方法が一般的となっています」

Q.セキュリティーの観点からみて、「パスワード別送」は有効といえますか。

久原さん「暗号化ファイルのパスワード解析はそれほど難しいことではなく、技術的な対策としては正直、不安が残るのは事実です。しかし、近年のセキュリティー事故はヒューマンエラーによって多く発生していることもあり、メールの誤送信に備えた対策としては、別送という面倒な一手間をかけることも効果があると考えます」

Q.この方法がビジネスメールに使われ続けている理由と背景は。

久原さん「実際にメールを誤送信してしまった事例もあり、その際には意味があったと考えられます。また、プライバシーマークの取得・更新においては、こうした方法を記載・運用しなければならない場合が多いのも事実です。『プライバシーマークを取得していない会社には仕事を発注しない』とする会社もあるため、今もなおビジネスメールで使い続けられていると言ってよいと思います」

Q.メールでファイルを送付する際、情報漏えいなどのリスクを減らせる方法はありますか。

久原さん「パスワードの文字列を多く設定し、大文字や数字、記号を多用して解析の時間を稼ぐ方法が最も簡単で効果があります。また、同じメールアドレスにパスワードを別送するのではなく、少しアナログではありますが、電話やショートメールでパスワードを伝えるのも一つの方法でしょう」

Q.メール以外で、安全にファイルをやり取りする方法を教えてください。

久原さん「グーグルドライブなどクラウドを使う方法は、保存先URLが第三者にバレしまった場合でも、アクセス制限をかけることが可能なので、暗号化ファイルをメールで送信するより安全です。他にも、自分が管理するサーバー上に保存して閲覧用にパスワードをかけておき、短時間で何度も間違えるユーザーに関してはアクセスを制限する方法もあります」

(オトナンサー編集部)

https://otonanswer.jp/post/31147/

Contact

各種コンサルティングや
講演会についてのご相談、
ご協業に関するご相談など、
お気軽にお問合せ下さい。

ページトップ