「暗号化ファイルのパスワード別送」は無意味である

　情報漏えい対策の1つとして、送付ファイルを暗号化して送付し、そのパスワードを別送するという手法がある。実際に導入している企業も多いはずだ。

　しかしこの「パスワード別送」によるセキュリティ対策、果たして本当に効果があるのか、疑問に思うビジネスパーソンもまた多いだろう。結果的に相手には暗号化ファイルもパスワードも届くことになるため、わざわざ別送する意味はあまりないように思える。

　パスワード別送に、意味はあるのか、ないのか。結論を先に述べると、「全くと言っていいほど意味が無い」である。より厳密にいえば、「意味がある場合もある」が、実際のところは、意味が無い場合がほとんどだ。

　パスワード別送は日本企業のローカルルールなので、日本企業と取引をしたことの無い欧米企業にパスワードを別送すると、ほぼ間違いなく不思議がられる。「なんで？」「意味あるの？」と。

　では、何故このようなローカルルールが生まれたのか。その歴史を振り返りながら、より効果の高い対策法を考えてみよう。

昔は効果があったかもしれないが……

　暗号化ファイルとパスワードをわざわざ別送する理由は、簡単にいえば誤送信を防ぐためである。暗号化ファイルを本来送るべきではない人に誤送してしまった場合、添付ファイルが暗号化されていれば、誤って送付した相手にいきなり読まれてしまう心配は無い。そして、パスワードを別送で送る際に、宛先が間違っていることに気付ければ、そのタイミングで情報漏えいを食い止められる。

　つい15年くらい前であれば、メール送付先のToとCcとBccの違いについて、年配の上司に聞かれた経験のある方もいるだろう。この違いを説明するパソコン誌やビジネス誌の記事も頻繁に見かけた。その当時、誤送信で届くメールも、今より多かったように記憶している。

　パスワード別送がいつから始まったか、はっきりとした時期はわからない。だが、IPA（独立行政法人情報処理推進機構） による、「5分でできる！情報セキュリティ自社診断」では、2013年の時点で“パスワードはその電子メールには書き込まず、別の電子メールか電話等で通知することが必要です。”と推奨する記述が存在していた。

　そのため、社内のルールとしてパスワード別送を課していた企業も多かったし、社内システムの設定で、添付ファイルが暗号化されていないと、メールの送信自体ができない仕組みを導入している企業もあった。

　しかし、このような対策に意味が無いということは、すぐに気付く。… 続きを読む