pageTop

添付ファイルの暗号化に意味はあるのか?

昔から議論され続けている情報セキュリティの定番ネタと言えば「メール添付ファイルのZIPパスワード化問題」です。今でも多くの会社が、メールでファイルを送信するときに、まずは送信するファイルをZIPで圧縮し、そのZIPファイルにパスワードを設定し、1通目のメールでパスワード保護されたZIPファイルを送り、その後、パスワードを書いた2通目のメールを送るという、とても面倒な作業を行っています。
実際、少し古い資料ですが、IPA(情報処理推進機構)が2012年に発行した「電子メール利用時の危険対策のしおり」には、この方法でメールを送ることが推奨されています。

電子メールを安全に送受信するために、メールの本文や添付ファイルを暗号化する
ことができます。お手軽な方法として、添付ファイルのみを圧縮・解凍ソフトの
暗号化機能によって暗号化する(パスワード保護する)ことも効果的です。

(引用:IPA,2012「IPA対策のしおり シリーズ(7) 電子メール利用時の危険対策のしおり」
https://www.ipa.go.jp/security/antivirus/documents/07_mail.pdf

しかし、この方法には多くの批判があることも事実です。最も主な批判は、「メールを技術的に盗み見ようとしているクラッカーが、もし1通目のメールを盗み見ることに成功したのなら、普通に考えて、2通目のメールも盗み見られているだろう」というものです。安全のためにパスワードを別送しているのに、結局パスワードまで盗み見られてしまっていたら、元も子もありません。

どうしてメールの添付ファイルにパスワードをかけるのか

「メール添付ファイルのZIPパスワード化」を行う理由は、企業によって様々です。
主だった理由を3つあげてみました。

誤送信対策

メールを送った瞬間に「違う宛先に送った事に気づく」ことは無いでしょうか。メール送信前にあれだけ確認したはずなのに、メールを送った数秒後に間違いに気づき、血の気が引くような思いをしたことのある人もいると思います。
そんな時に、「メール添付ファイルのZIPパスワード化」をしていると安心できます。もし、重要な情報を添付したメールを、誤った宛先に送ってしまったとしても、2通目を送る前に誤送信に気づけば、情報漏えいまでは至りません。
間違えて送ってしまった添付ファイルにはパスワードがかかっているため、滅多なことがない限り、中身が流出する可能性がありません。

パフォーマンス、他社への思いやり、コンプライアンス上の問題

「メール添付ファイルのZIPパスワード化」が技術的に余念のない対策だと考えている人もいます。そのように考えている人や会社に対して、きちんとパスワードがかかった添付ファイルを送ると、「あの会社はセキュリティちゃんとしてるな…」と思われ、自社の信頼向上に繋がる可能性もあります。また、万が一流出した時に、「弊社はパスワードを掛けるという技術対策をしていました」という弁明になりえます。

Pマーク、ISMS認証を取得するために、やめられない!

意外と多いのがこの理由です。PマークやISMSとは、「うちの会社の情報セキュリティはしっかりしてるよ!」ということを取引先や顧客に示すために、外部の認証機関から得るお墨付きのようなものです。
PマークやISMSを取得するためには、審査機関に依頼をして審査を受ける必要があります。このときに、「機密情報を含むファイルをメールで送信するときはパスワードをかけて、そのパスワードを別送する」というルールを作っておかないと、審査が通りにくくなってしまうのが現状です。
(特にPマークの取得の審査では、その傾向が強いです。)

例えば、Pマークの審査機関の1つである「情報サービス産業協会」では、「個人情報を含む添付ファイルにはパスワードをかけること」という内容を、審査項目として明確に規定しています。

個人情報を含む添付ファイルを取扱う際に、セキュリティ対策(データの暗号化、
パスワード設定など)の措置を講じることを新たに追加した。

(引用:情報サービス産業協会,2010「プライバシーマーク審査のお知らせ」
http://www.jisa.or.jp/service/privacy/tabid/831/Default.aspx?itemid=31

ZIPパスワード化に本質的な意味はあるか

メール添付ファイルのZIPパスワード化に、「本質的な意味」はあるのでしょうか。
「本質的な」とは、パフォーマンスのためや、Pマーク・ISMSの規格のため以外の、ということです。結論から言えば、技術的な対策としては不安が残るが、ヒューマンエラー対策としては十分に機能すると考えられます。記事の初めに述べたように、仮にメールが何者かに盗み見られているとするならば、パスワードをわざわざ2通目に送ったとしても、何の対策にもなりません。しかし、これも先に述べた通りですが、送る側の人間の誤送信対策にはなり得ます。

もし、相手先の他の社員にも見られてはいけないような、非常に機密性の高いファイルを送る必要が生じたとします。その場合には、ファイルにはパスワードをかけて、そのパスワードを「別のメールで」送らないと、誤ってメールが社内で転送されてしまったときに、ファイルが他社員に流出してしまう可能性があります。もちろん、メール受信者は「これだけ機密性の高いファイルなのだから、自社の社員にも漏らすまい!」と心がけるでしょう。しかし、人間なのですから、いつ間違って、その添付ファイルを含んだメールを転送してしまうか、わかりません。もし、転送先が社外ならば、完全に取り返しのつかないことになってしまいます。

このZIPパスワード化問題が議論の場に上がるとき、技術的な側面から問題視されることが多いです。
しかし、情報セキュリティとは完璧な技術で情報を守り固めるだけでなく、極力ヒューマンエラーをなくし、うっかりミスなどで情報を外部に流出させないという観点も非常に大切です。
事実、多くの情報セキュリティ事故は、標的型メールをはじめとして、従業員のうっかりミスやヒューマンエラーによって生じています。ZIPパスワード化は、確かに技術的な側面からは情報セキュリティレベルを上げる可能性は低いかもしれません。しかし、人間のうっかりミスをなくすという観点から見ると、立派な情報セキュリティ対策になっていると考えられます。

まとめ

様々な企業が「メール添付ファイルのZIPパスワード化」を行っており、そして様々な人が、その方法について議論していますが、「ヒューマンエラーをなくす」という観点から見れば、1つの立派な情報セキュリティ対策といえます。