サラリーマンの悲しさ。
日本の情報処理分野の学会として、その名も「情報処理学会」というものがあり、私自身は会員ではないのですが、大学時代に近いところにいて、それからかれこれ30年以上も関連する仕事をしているので常に関心を持っています。その学会誌である「情報処理」の2020年7月号(61巻7号)で「さようなら,意味のない暗号化ZIP添付メール」という小特集が組まれていることを知りました。
タイトルだけで思い当たる人はいると思いますが、日本の企業でなぜか広まっている、メールに添付ファイルを付けるときは暗号化ZIPファイルで送信する、という文化をなんとかやめさせようというものです。このようなことが行われているには次のような理由があるようです。
- 情報漏洩対策
- コンプライアンス対応ポーズ
- セキュリティ資格対策
上記2と3はバカバカしくて話をする気にもなれないので、ここでは1についてのみ取り上げますが、これも内訳としては次のようなものになると思います。
- 盗聴対策
- 誤送信対策
- 誤転送対策
aの盗聴対策というのは送信相手のPCやメールサーバー、伝送経路上のサーバーから不正アクセスによってメールが読み取られた場合の対策ということです。しかし、ファイルが添付されたメールにアクセスできるのであれば、たとえ別のメールに書かれていたとしてもパスワードを読み取ることも容易なはずで、まったく意味をなしていないのではないか、というのは反対派からよく言われていることですし、私自身もこれに同意です。
bの誤送信対策というのがおそらく唯一、わずかながらも意味のありそうな理由だと思っているのですが、間違った相手に添付ファイルを送ってしまったとしても、次のメールでパスワードを送ってしまうまでは相手が内容を見ることはできないので、まだ挽回できるということです。普通にメールを書いていて、本文の誤記や送信先の過不足に気づくのはなぜか送信ボタンをクリックした直後だったりするので、ある程度の効果はあるのではないかと思っています。ただ、それも確実なものではなく、「気づいたらラッキー☆」というくらいのものではないでしょうか。
なお余談ですが、私の勤務先でも最近はFAXを使うことはなくなりましたが、以前はFAXの誤送信が問題になったことがありました。FAXの場合は電話番号で送信先が決まりますし、チェックディジットのようなものもないので単純な番号の押し間違いでまったく関係のない相手に送信してしまうことになります。間違った先がFAXに繋がっていればそのまま情報漏えいにつながってしまいますし、そうでない場合には一般の電話に対して再送信を繰り返すことになって迷惑電話となってしまいます。対策としては基本的に短縮ダイヤルを利用し、登録されていない相手に送信する場合は2名でダブルチェックして送信すること、というルールになりました。これも労力の無駄遣いですが、それがFAXの退陣を促進したかもしれません。
cの誤転送対策というのは、自分が送信した相手がそのメールを別の人に誤って転送してしまった時に、自社の機密情報が漏れてしまうのを防ぐということです。自分の手を離れた後のことなので完全な対策は不可能ですし、本来は送信相手が注意すべきことなので、アメリカなどでは万一の場合には訴えられるということが抑止力のようになっているのではないでしょうか。そこまで気をつけなければいけないような情報なら、メールで送るべきではないようにも思えます。
機密情報をメールでやり取りするためにはS/MIMEやPGPといったものがあるので、本当はこれらを使えばいいはずなのですが、それがあまり使われていないのはなぜなのでしょうか。また、そもそも添付するのはやめてクラウドストレージやインスタントメッセージなどなにか別のセキュアな手段を利用するというのも良いでしょうが、そこから情報漏洩するということも考えられるため、私の勤務先もストレージサービスやインスタントメッセージはブロックしていて利用できないというのも問題です。とにかく、暗号化ZIPファイルというのはほとんど効果がないのに手間だけが増えているので、なんとかしてほしいものです。偉い人が「情報処理」を見て考えを改めてくれないものでしょうか。