2018.02.16 Fri
情報漏えい対策の1つとして、送付ファイルを暗号化して送付し、そのパスワードを別送するという手法がある。実際に導入している企業も多いはずだ。
しかしこの「パスワード別送」によるセキュリティ対策、果たして本当に効果があるのか、疑問に思うビジネスパーソンもまた多いだろう。結果的に相手には暗号化ファイルもパスワードも届くことになるため、わざわざ別送する意味はあまりないように思える。
パスワード別送に、意味はあるのか、ないのか。結論を先に述べると、「全くと言っていいほど意味が無い」である。より厳密にいえば、「意味がある場合もある」が、実際のところは、意味が無い場合がほとんどだ。
パスワード別送は日本企業のローカルルールなので、日本企業と取引をしたことの無い欧米企業にパスワードを別送すると、ほぼ間違いなく不思議がられる。「なんで?」「意味あるの?」と。
では、何故このようなローカルルールが生まれたのか。その歴史を振り返りながら、より効果の高い対策法を考えてみよう。
昔は効果があったかもしれないが……
暗号化ファイルとパスワードをわざわざ別送する理由は、簡単にいえば誤送信を防ぐためである。暗号化ファイルを本来送るべきではない人に誤送してしまった場合、添付ファイルが暗号化されていれば、誤って送付した相手にいきなり読まれてしまう心配は無い。そして、パスワードを別送で送る際に、宛先が間違っていることに気付ければ、そのタイミングで情報漏えいを食い止められる。
つい15年くらい前であれば、メール送付先のToとCcとBccの違いについて、年配の上司に聞かれた経験のある方もいるだろう。この違いを説明するパソコン誌やビジネス誌の記事も頻繁に見かけた。その当時、誤送信で届くメールも、今より多かったように記憶している。
パスワード別送がいつから始まったか、はっきりとした時期はわからない。だが、IPA(独立行政法人情報処理推進機構) による、「5分でできる!情報セキュリティ自社診断」では、2013年の時点で“パスワードはその電子メールには書き込まず、別の電子メールか電話等で通知することが必要です。”と推奨する記述が存在していた。
そのため、社内のルールとしてパスワード別送を課していた企業も多かったし、社内システムの設定で、添付ファイルが暗号化されていないと、メールの送信自体ができない仕組みを導入している企業もあった。
しかし、このような対策に意味が無いということは、すぐに気付く。
私たちは、以前と比べればPCの扱いに関するスキルは大幅にアップし、メールアドレスをコピペ(コピー&ペースト)することを覚えた。メールクライアント(メールの送受信を行うソフトウェアやサービス)によっては、相手のメールアドレスと一緒に顔写真も表示されることもあり、送付先が誰なのかを確認しながらメール作成を行うこともできる。
もはや我々は、基本的にはメールの送付を間違えることはない。間違えること自体が、相当なレアケースとなりつつある。そのため、1通目の送り先が間違っていたとしても、それに気付くことは稀である。つまり、ほぼ間違いなく、2通目の送り先も間違っているのだ。
最近流行しているビジネスメール詐欺も防げない
そもそもパスワード別送程度の対策では、最新のメール詐欺を防ぐことはできない。
昨今では「ビジネスメール詐欺」という手口の事件が横行しており、警察庁や全国銀行協会などからも注意喚起がなされている。既に日本の大手企業でも、数億円単位の被害が発生しているサイバー犯罪だ。
このビジネスメール詐欺という手口では、上司や取引先を装って送金指示を記した偽メールを送りつけ、あらかじめ用意しておいた口座への送金へと誘導する。つまり、ビジネス版のオレオレ詐欺みたいなものだ。
このような事件の場合は、ハッキングなどの方法によって、既に全てのメールのやり取りが筒抜けの状態となっていることが多い。そして、適切なタイミングで、もっともらしい偽メールを送りつけてくる。
つまり、1通目のメールどころか2通目も筒抜けなので、もはやパスワード別送を行なったところで情報を守ることはできない。
このことだけが理由ではないが、2016年末に改訂された、先のIPAによる「新5分でできる!情報セキュリティ自社診断」では、”パスワードはその電子メールには書き込まず、電話等の別の手段で通知することが必要です”と記載されている。パスワード別送を推奨する記述は、もうどこにも書かれていない。
つまり、メールの誤送信やハッキングから大事な情報を守るためには、パスワード別送は何ら役に立たない、ということだ。
メール自体を暗号化すべし
それでは、どうすればメールの誤送信や不正なハッキングが防げるのか。海外のあるデータ保護の専門家に確認してみた。彼によると、電子メールの決め事は、かつて利用者がお互いに信頼できる大学や研究機関だけだった時代に開発された後、アップデートがなされていないと言う。
具体的な対策法としては、「PGP」や「S/MIME」といった方法でメール自体を暗号化すること、電子署名(署名者がその文書を作成したことを証明し、文書全体を暗号化して内容が不正に改ざんされることを防止する技術。メール文末に記載する連絡先のことではない)を行い、リスクを減らすことが良いという。これらの方法によって、メールのやり取りが筒抜けになったり、メールが途中で何者かによって改ざんされてしまうことを防ぐ助けとなる。
ちなみにこのデータ保護の専門家とは、企業や研究機関へのコンサルティングや研究を行なっており、日本でも情報セキュリティ大学院大学の学長とともに講演をした経験もある、ドイツのDr.ヘルマン氏である。欧州では今年5月の完全対応が迫られているEU一般データ保護規則(通称GDPR)など、日本以上に情報の取り扱いが厳しく規定されているが、氏によればドイツはさらに厳しい規制があるという。
GDPRは今後日本企業にも適用されるのだが、今回の本題から外れてしまうため、本稿では割愛する。
どれだけ強化しても強化しきれない穴とは
最近では、メールにファイルを添付すること自体をやめ、クラウドのファイル共有サービスなどに置き換える企業も増えてきた。総務省による2017年度の情報通信白書では、クラウドサービスを何らかの形で利用している企業が46.9%としているが、その内の50.7%は「ファイル保管・データ共有」を利用している。
ただし、そこで共有されるファイルの共有範囲を適切に設定し、場合によっては閲覧期限を設けるなど、利用する上で気をつけるべきことはある。不特定多数が閲覧できる「公開」設定のまま機密情報を保管し、情報漏洩事件を発生させた事例は、日本国内でもいくつも発生している。
そして最も大事なことは、暗号化されていたり、新しい技術を活用していたりしても、適切に取り扱われていなければ、セキュリティ的な意味は無いということを再認識することだ。
パソコンやスマホは、セキュリティ上の欠陥が見つかればソフトウェアをバージョンアップすることで対策を施し、Windows10とかiOS11など、セキュリティレベルの高い最新のOSにできる。しかし、それを取り扱う人の意識も変わらなければ、そこが重大な落とし穴となる。そう簡単に「部長1.0」が「部長2.0」とかにはならないのだ。
簡単にアップデートできない人間をどうアップデートするのか。それがセキュリティ対策で最も重要かつ難しい対策なのである。
