添付ファイル暗号化とは、メール送信の際、添付ファイルにパスワードをつけてzipファイル等に圧縮することです。
10年以上前から使われてきたセキュリティ対策の1つですが、本当に暗号化して意味があるのか調べてみました。
添付ファイル暗号化のメリット
添付ファイルを暗号化することにより得られるメリットは以下の通りです。
・盗聴対策となる
ユーザがメールを送信した場合は、メールサーバーを経由し相手先に届けられますが、その過程で盗聴され情報が流出する可能性があります。
その際にファイルを暗号化していると、中身を安易に読み取れないため流出リスクが減ります。
・誤送信時の情報流出を防ぐ
宛先を間違えて送信しても、ファイルを暗号化していれば中身を開くことができません。
・他社に対する信頼性、セキュリティのアピール
取引先から機密情報が平文で送られてきたら不安になりませんか。
特にIT会社や個人情報を取り扱う会社であれば、今後の付き合いを考える人もいるかもしれません。
・Pマーク、ISMSに適合する条件
これらの資格を取得する場合は、暗号化は必須条件とされています。
一定規模以上の会社の多くは暗号化を取り入れていますが、これが大きい理由でしょう。
<引用>プライバシーマーク審査のお知らせ
【第23条】個人情報を含む添付ファイルを取扱う際に、セキュリティ対策(データの暗号化、パスワード設定など)の措置を講じることを新たに追加した。
<引用>法規適合性に関するISMSユーザーズガイド
(7ページ 電子的メッセージ通信)
盗聴される可能性のあるネットワーク(例えば、インターネットや無線LAN等)で個人データを送信(例えば、本人及び従業者による入力やアクセス、メールに添付してファイルを送信する等を含むデータの転送等)する際の、個人データの暗号化の秘匿化
添付ファイル暗号化のデメリット
添付ファイルの暗号化は前述のようにセキュリティ対策として十分に効果のあるように感じますが、暗号化否定派も多く存在します。その理由としては以下があげられていました。
・時間がかかる
暗号化ソフトを使い、zipファイル等に暗号化するのは時間がかかります。パスワードを相手に伝える時間もかかります。
・セキュリティ意識の低下
暗号化さえすれば何を送っても問題ないと思う人も出てくるかもしれません。
データの流出を絶対にしたくない重大な機密情報、ということであれば、メールを使わずに直接データを手渡しする・暗号化した媒体をセキュリティ便で送付するなど、適切な受け渡しが必要となるでしょう。
・社外で内容を確認できない場合がある
タブレット端末によっては暗号化付き圧縮ファイルを解凍できない場合があり、早急にデータを確認できません。
・メールサーバのセキュリティチェックに引っかからなくなる場合がある
暗号化されているとチェックできず、開いた際にウイルスに感染する可能性があります。
またやり方によっては別の問題点が……。
・同経路(メール)でパスワードを送信する場合、盗聴のリスクが高まる
添付ファイル付きメールを盗聴できる場合、同経路なのでその後送られるパスワードを盗聴される可能性が高くなります。
また送付先のパソコンが、もしウイルスが感染していた場合、同じメールサーバ・メーラーに届くため、添付ファイル・パスワード両方のメールを盗み取られる可能性があります。
・メールを送ると自動で添付ファイルが暗号化され、後続でパスワードが自動送信される場合、セキュリティ対策としてはあまり意味がない
前述した内容に加えて、時間を空けず連続で送信された場合、より盗聴される可能性が高くなります。また、自動送信であれば誤送信も防げません。
ただし、自動暗号化・自動送信が悪か、と聞かれると個人的にはそうは言えないと思っています。
盗聴対策として少しは意味があるでしょうし、やはり暗号化作業は時間がかかるためPマーク、ISMSに適合するためしょうがなく取り入れている企業にとっては、事務効率化につながるでしょう。
セキュリティ対策としての効果は小さいでしょうが、必ず自動で暗号化されるのは悪くないと思います。
メリットデメリットをふまえ、どうすればよいか
以上を踏まえて、
・添付ファイルの暗号化のメリットは高いため、同様の対策はすべき
ですが、そのやり方が肝心で
・暗号化ファイルとパスワードは別経路で送る
等、正しいやり方を行ってこそ初めてセキュリティとして成り立つのではないかと思っています。
また、効率面・セキュリティ面両方が大事だとも思っています。
例になりますが、そのために考えた手段が以下です。
※そもそも添付ファイルを暗号化せずにメールサーバソフトの機能でメールサーバ上に置くということが最終的な結論のため、少々脱線していると思いますが、ご了承ください。
①メールを送るとメールサーバソフトの機能でメールサーバ上に添付ファイルを自動保存し、送信先にはURLとログインIDを送る
②パスワードは自動で後続送信されず、送付者がメールサーバソフトの管理画面からパスワード送付ボタンを押すことで、パスワードをメールで送ることができる。
※基本的に、送信先にはあらかじめFAXや電話などで規則的なパスワード(全角半角記号が混じった英文字列+日付など)を伝えておく。
③URLにアクセスするとログインIDとパスワードが求められるため、①②のログインID、パスワードを入力することでファイルを取得可能
これで前述のデメリットはすべて網羅し、効率を保った上でセキュリティを高めることができるのではないでしょうか。
そもそもこういったメールサーバソフトが存在するのかは不明ですが、添付ファイルをメールサーバ上に置き、URLを相手に自動発行するなど、惜しいものは何個か見つけてます。もっと詳しく調べてみたらあるかもしれませんね。
