間違いだらけのメール添付ファイルの暗号化!パスワードを設定について解説 後篇
間違いだらけのメール添付ファイルの暗号化!パスワードを設定について解説 その1
前半の続きです・ω・
4. メールでパスワードを別送するのが無意味な理由とは?
一般的に、圧縮してパスワードをかけて暗号化したファイルをメールで送る場合、複合化のためなどと言ってパスワードを別のメールで相手に送ります。
これには、意味があるのでしょうか?
「同じメールに添付ファイルをつけて、パスワードを記載すると、第三者に情報が漏れるから」
などと言いますが、
別メールで送っても、ネットワークを監視されていたら、意味がありません。
それどころか、パスワードのメールは定型文が多いため、フィルタリングによってパスワード情報を収集されてしまうと、機密文書のありかが特定しやすくなり、ハッカーには格好の餌になります。
また、片方のメールで誤送信をしてもメールは1通だけしか届かず、ファイルは開けないため、誤送信の防止になるという主張もありますが、自動的にパスワードを送信するシステムも存在し、あまりメリットはありません。
それよりも、
添付ファイルを暗号化して送り、電話でパスワードを伝えるか、
添付ファイルを安全なクラウドなどにアップロードして、リンクだけを送信し、ダウンロード制限したり、誤送信時には、リンク先のファイルを削除できるようにした方が余程セキュリティは高くなります
このように、別メールで送信することにはほとんど実効性はありません
5. まとめ
とくに大手企業などでは、取引先などにメールでファイルを送る場合に、
「圧縮してパスワードを設定して暗号化する」ことが必須となっていることが多くなっています。
これ自体は、第三者への情報漏えいを防ぐという観点から大きな意味があります。
しかし、その後のパスワードの扱いや運用がダメダメな企業が沢山あります。
最たる例は、面倒臭い暗号化、パスワードの処理を、自動化する仕組みを取り入れて却って
セキュリティが低くなってしまうケースです。
この場合、先に述べたように
パスワードの文字数の固定化(強要)による暗号強度の低下。(オフライン認証であるため、12文字以上のパスワードは設定してほしい)
定型文によって、悪意のある登頂者による、機密文書の特定の簡易化。
等が考えられます。
そのような状況でも、そういうシステムを導入することで、セキュリティの取り組みが高いと思い込んでドヤ顔してる企業が少なからずある訳です。
日本企業ちょろいなぁ、ってのが現状でしょう。
今回は自動でパスワードの設定をする仕組みや、誤送信を防ぐためのさまざまな機能が組み込まれた便利なツールの欠点を紹介しました。
これからこういった対策に取り組まれる方はもちろん、従来の仕組みで問題を感じておられる方はぜひ今回の記事を参考にして、メール送信のセキュリティの向上を実現していきましょう。
Translate
Comments