オトナンサー|オトナの教養エンタメバラエティー

暗号化ファイルを送付→パスワードを別送する方法、セキュリティー上の効果はある?

ビジネスメールに欠かせない「ファイルの添付」でよく見る「パスワードは後ほど別のメールで」という手法。安全面の効果やいかに。

「パスワード別送」の効果とは?
「パスワード別送」の効果とは?

「パスワードは後ほど別のメールでお送りいたします」。ビジネスメールのやり取りをしている人なら、一度は見たことのある文面ではないでしょうか。ビジネスメールに欠かせない「ファイルの添付」において、「暗号化したファイルを送付後、パスワードを別のメールで送る」パターンが多くみられます。セキュリティー対策の観点から取られている方法ですが、「本当に意味があるの?」「仮に1通目のメールが盗み見られたら、2通目を見ることも容易では」などと安全性を疑問視する人も少なくないようです。

 ネット上では「意味なさそう」「送り先を間違えた時には有効」「やらないよりはやった方がいい」など、さまざまな声が上がっています。「パスワード別送」によるセキュリティー効果はどのようなものでしょうか。一般社団法人日本情報技術振興協会(JAPRO)認定講師の久原健司さんに聞きました。

誤送信対策としては効果あり

Q.暗号化ファイルを送付後、パスワードを別送する方法は、日本では、どのような経緯で、いつごろから使われ始めたのでしょうか。

久原さん「国が設置した個人情報保護委員会が定める『個人情報の保護に関する法律についてのガイドライン(通則編)』には、個人情報を扱う事業者が講じなければならない措置として、『情報システムの使用に伴う漏えい等の防止』があります。この中で、中小規模事業者における具体的な手法の例示として、『メール等により個人データの含まれるファイルを送信する場合に、当該ファイルへのパスワードを設定する』との記載がなされています。

個人情報を適切に扱う体制があることを証明する『プライバシーマーク』を審査する、一般社団法人情報サービス産業協会(JISA)でも、2010年7月、『個人情報を含む添付ファイルを取り扱う際に、セキュリティー対策(データの暗号化、パスワード設定など)の措置を講じる』ことを審査項目へ新たに盛り込み、プライバシーマークを取得している企業内では、メール送信時のルールとして各社内で周知されています。

これにより、2010年7月1日以降、プライバシーマークを取得・更新している企業で、暗号化ファイルを送付後、パスワードを別送する方法が一般化されました。また、プライバシーマークを取得していない企業でも、『個人情報のセキュリティーに配慮した電子メールを送っています』というアピールとしてこの方法が用いられ、やがて日本企業での“お作法”になったと考えられます」

Q.同様の方法は、海外でも採用されているのですか。

久原さん「米国などの先進国やアジア諸国で採用されているという話は、聞いたことがありません。『グーグルドライブ』『ドロップボックス』など、クラウド上のセキュリティーが高い共有フォルダーや、『スラック』などのチームコミュニケーションツールでやり取りする方法が一般的となっています」

Q.セキュリティーの観点からみて、「パスワード別送」は有効といえますか。

久原さん「暗号化ファイルのパスワード解析はそれほど難しいことではなく、技術的な対策としては正直、不安が残るのは事実です。しかし、近年のセキュリティー事故はヒューマンエラーによって多く発生していることもあり、メールの誤送信に備えた対策としては、別送という面倒な一手間をかけることも効果があると考えます」

Q.この方法がビジネスメールに使われ続けている理由と背景は。

久原さん「実際にメールを誤送信してしまった事例もあり、その際には意味があったと考えられます。また、プライバシーマークの取得・更新においては、こうした方法を記載・運用しなければならない場合が多いのも事実です。『プライバシーマークを取得していない会社には仕事を発注しない』とする会社もあるため、今もなおビジネスメールで使い続けられていると言ってよいと思います」

Q.メールでファイルを送付する際、情報漏えいなどのリスクを減らせる方法はありますか。

久原さん「パスワードの文字列を多く設定し、大文字や数字、記号を多用して解析の時間を稼ぐ方法が最も簡単で効果があります。また、同じメールアドレスにパスワードを別送するのではなく、少しアナログではありますが、電話やショートメールでパスワードを伝えるのも一つの方法でしょう」

Q.メール以外で、安全にファイルをやり取りする方法を教えてください。

久原さん「グーグルドライブなどクラウドを使う方法は、保存先URLが第三者にバレしまった場合でも、アクセス制限をかけることが可能なので、暗号化ファイルをメールで送信するより安全です。他にも、自分が管理するサーバー上に保存して閲覧用にパスワードをかけておき、短時間で何度も間違えるユーザーに関してはアクセスを制限する方法もあります」

(オトナンサー編集部)

久原健司(くはら・けんじ)

株式会社プロイノベーション代表取締役、JAPRO認定講師

1978年生まれ。2001年東海大学工学部通信工学科卒業後、ITの人材派遣会社に入社。大手コンビニエンスストアのPOSシステム保守運用業務を担当する。2003年からソフトウェア開発会社で、システムエンジニアとして、大手通信会社のWebアプリケーションシステム開発など多くの業務に携わるも、2006年、小さい頃からの夢であった独立を決意。2007年(29歳)に株式会社プロイノベーション(http://proinnv.com/)を設立し、当時としては珍しいオブジェクト指向によるモデリング開発でのサービス提供を始める。現在は、代表取締役を務める傍らで、一般社団法人日本情報技術振興協会(JAPRO)認定講師として、IT企業中心に研修や、日本青少年育成協会の会員として青少年の健全育成に寄与する。2018年「振り向くホームページ」サービスを開始(http://furimuku.com/)。プロのフリーランスを集めて企業の成長をサポートすることで、フリーランスとしての働き方を応援する傍ら、日本一背の高いITジャーナリストとしてWebメディアでも活躍中。

コメント