無意味な暗号化添付ファイルを使い続ける会社の民度（JBpressより）

無意味な暗号化添付ファイルを使い続ける会社の民度
情報漏洩対策としての効果に疑問符、サイバー攻撃の温床にも

（専門家ではないので内容が正しいかどうかは判断できないのですが）電子メールにファイルをつけておくる際にそのファイルを暗号化することは無意味だ、むしろ詐欺を助長するという記事。

「ビジネスで電子メールを使う人は多いが、わずらわしいのが暗号化した添付ファイルである。パスワードを別のメールで送信するケースが多く、複数のメールが行ったり来たりする。．．．

このパスワード別送メールは情報漏洩を防ぐセキュリティ対策として導入されているが、識者の間では「意味がないのではないか」という指摘も多い。パスワードも同じメールで送っているため、もしメールが第三者に漏洩しているのであれば添付ファイルの暗号化も破られてしまうからだ。」

「近年は特定の企業を狙ってビジネスメールを装った詐欺などが増えている。その際に、暗号化した添付ファイルを送る商習慣が詐欺を助長することになりかねない。ファイルが暗号化されているため、コンピューターウイルスが含まれているかどうかかのチェックが不十分になってしまうのだ。」

「クラウドストレージなどメールより安全にファイルを送信する手段も普及している。暗号化したファイルを添付してメールで送るのは、既に時代遅れの商習慣になったと言える。」

「ファイルを暗号化したり、パスワードを別途送ったりすれば現場の作業負担は増えるので、2000年代にはこれらを自動化するソフトウェアが流行した。その多くはパスワードを記載したメールを送る前に送信者に送り先が間違っていないか確認を促す仕組みだが、中には全自動でパスワードを送るソフトもある。仮に、添付ファイルを誤送信しても、パスワードが届かなければ漏洩は防げるが、全自動でパスワードまで送るのでは情報漏洩対策としては本末転倒だ。」

「私たちはなぜパスワード付きｚｉｐファイルをメール添付するのか」（デジタル・フォレンジック研究会）

「同一経路でファイルとパスワードを送っているのですから、仮に攻撃者がいれば片方が入手できれば他方も入手できるはずです。そして、この種のメールは受信者にとっては煩わしいだけの、大変やっかいな、大きく言えば生産性を阻害する要因にしかなっていないと感じます。」

日本公認会計士協会からＩＴ委員会実務指針第４号「公認会計士業務における情報セキュリティの指針」という報告書が出ていますが、それをみると以下のように書いています。

「(2) 電子メールを利用して電子データの送信を行う場合

電子メールを利用して送信する際には、宛先を誤ることによる情報漏洩を防ぐため、送信前に宛先が正当な受信者であることを確認する。また、電子メールの詐取等による情報漏洩を防ぐため、経営者の定めた方針やクライアント等と合意した方針に従い、送信される電子データに対し、暗号化や推測が困難なパスワードを設定することが必要である。」（17ページ）

電子メールでファイルを送る際には暗号化・パスワード設定が必要といっています。その設定されたパスワードをどのようにして相手に送るかについてはふれていません。別メールで送るのも容認しているのか、もっと安全な方法を想定しているのか．．．。

当サイトの関連記事（「公認会計士業務における情報セキュリティの指針」・同Ｑ＆Ａの改正について）