Bizコンパス

「暗号化ファイルのパスワード別送」は無意味である
2018.02.16

このセキュリティ対策、本当に効果あるの?

「暗号化ファイルのパスワード別送」は無意味である

著者 足立 照嘉

 情報漏えい対策の1つとして、送付ファイルを暗号化して送付し、そのパスワードを別送するという手法がある。実際に導入している企業も多いはずだ。

 しかしこの「パスワード別送」によるセキュリティ対策、果たして本当に効果があるのか、疑問に思うビジネスパーソンもまた多いだろう。結果的に相手には暗号化ファイルもパスワードも届くことになるため、わざわざ別送する意味はあまりないように思える。

 パスワード別送に、意味はあるのか、ないのか。結論を先に述べると、「全くと言っていいほど意味が無い」である。より厳密にいえば、「意味がある場合もある」が、実際のところは、意味が無い場合がほとんどだ。

 パスワード別送は日本企業のローカルルールなので、日本企業と取引をしたことの無い欧米企業にパスワードを別送すると、ほぼ間違いなく不思議がられる。「なんで?」「意味あるの?」と。

 では、何故このようなローカルルールが生まれたのか。その歴史を振り返りながら、より効果の高い対策法を考えてみよう。

 

昔は効果があったかもしれないが……

 暗号化ファイルとパスワードをわざわざ別送する理由は、簡単にいえば誤送信を防ぐためである。暗号化ファイルを本来送るべきではない人に誤送してしまった場合、添付ファイルが暗号化されていれば、誤って送付した相手にいきなり読まれてしまう心配は無い。そして、パスワードを別送で送る際に、宛先が間違っていることに気付ければ、そのタイミングで情報漏えいを食い止められる。

 つい15年くらい前であれば、メール送付先のToとCcとBccの違いについて、年配の上司に聞かれた経験のある方もいるだろう。この違いを説明するパソコン誌やビジネス誌の記事も頻繁に見かけた。その当時、誤送信で届くメールも、今より多かったように記憶している。

 パスワード別送がいつから始まったか、はっきりとした時期はわからない。だが、IPA(独立行政法人情報処理推進機構) による、「5分でできる!情報セキュリティ自社診断」では、2013年の時点で“パスワードはその電子メールには書き込まず、別の電子メールか電話等で通知することが必要です。”と推奨する記述が存在していた。

 そのため、社内のルールとしてパスワード別送を課していた企業も多かったし、社内システムの設定で、添付ファイルが暗号化されていないと、メールの送信自体ができない仕組みを導入している企業もあった。

 しかし、このような対策に意味が無いということは、すぐに気付く。… 続きを読む… 続きを読む

続きを読むには会員登録が必要です

足立 照嘉

足立 照嘉

サイバーセキュリティ専門家、投資家

サイバーセキュリティ企業の経営者として 15 年以上の経験を持ち、国内外の通信会社や IT 企業などのサイ バーセキュリティ事業者に技術供給およびコンサルティングを提供。日本を代表する企業経営層からの信頼も厚い。また、サイバーセキュリティ関連技術への投資や経営参画なども行なっている。大阪大学大学院工学研究科共同研究員。メディア出演や雑誌・ウェブへの執筆による啓発を行なっており、著書である『サイバー犯罪入門』『GDPR ガイド ブック』は、いずれも Amazon ランキングで 1 位を獲得。

関連キーワード

SHARE

関連記事

野放し厳禁!使えるファイル転送サービスの選び方

2016.08.12

無料サービス利用がセキュリティ事故を招く!?

野放し厳禁!使えるファイル転送サービスの選び方

今もダダ漏れ中!?身近な情報漏えいの防ぎ方

2018.06.12

失敗に学ぶセキュリティ対策

今もダダ漏れ中!?身近な情報漏えいの防ぎ方