冨山陽平のブログ “思いきり やりぬく”

ITの適正活用,セキュリティ,ITの適正活用、組織風土改革、従業員満足度調査、これあらた、久留真家、冨山陽平

冨山陽平のブログ 思いきりやりぬく

なぜ、メール添付のファイルにパスワードをかけるか?

2010/12/20 (月)

 先日とある方から、「中小企業のデータファイルをメールするときに、パスワードなんていらないんじゃないの?誰も興味ないだろうし。」というご意見をいただきました。これについて、わたしなりの意見を少し書いておこうと思います。まず、この文章から、二つの疑問が湧き上がります。

  • なぜパスワードをかけてファイルを送信するのか?
  • 本当に誰も興味ないのか?

パスワードをかけてファイルを送信する主な理由は、下記の2つです。

  • 【盗聴】送信経路で盗み見られたときに、ファイルを開かれるリスクを低減させる
  • 【誤送信】誤送信したときに、すぐに開かれてしまうリスクを回避する

 以前にも書きましたが、情報漏洩の80%は内部のミスであり、外部者による盗聴などというものは極めて低リスクです。最初のご意見にある、「誰も興味がない」というのはこういう観点からは当てはまるといえます。一方、誤送信については、内部ミスの一つとして情報漏洩の大きな要因のひとつになっています。ですから、誤送信の観点からいえば、パスワードをかけることには意味があるといえます。ただ、もし誤送信したとしても「誰も興味がないだろう」「もしメールアドレスを間違えても、間違えました」と送っておけばそれで収まるかといえば、必ずしもそうではありません。なぜなら、

一旦誤送信したものは、どのように魚拓が取られているかわからない

ということをご理解いただければと思います。WEB魚拓は実際にあるサービスなのですが、このようにWEB上の削除する前のものを取っておくサービスの通称としても使われます。恥ずかしい話ですが、実は、私もプライベートのあまり公開したくないファイルを誤送信経由で魚拓された体験があります。人があまり公開したくないファイルほど、他人にとっては魅力的という場合もあります。平たくいえば、自分は興味がなくても、隠しているという事実がわかっただけで、公開したくなる人達がいます。ましては、彼らの手からTwitterなどのソーシャル・ネットワーク・サービスに乗っかってしまうと一気に広まるという可能性もあるのです。私の場合は、魚拓されたものが、Twitter上で何回かリツイートしてまわってしまったということがあります。被害というほどのものではなかったので、ヒヤッとした程度ですが、気分がイイものではありませんでした。

 こういう話をすると、「私がメールを送る先にはそのような人はいない!」と叱られる場合もあります。たしかにそうかもしれません。ただ、下記のようなリスクも考えていただきたいと思います。

  • tomi_you@xxx.comをあやまって、omi_you@xxx.comとして、届いてしまい、届いた人が「広め屋」だった。:つまり、アドレス帳からの転記ミスではなく、何らかの拍子の転記ミスで誤送信は発生するのです。

この他にも、送信先がWinnyなどを利用していて漏洩するということも考えられますが、これは外部者盗聴と同じレベルで考えて良いのではないかと思います。

 最後にFAXや郵送との比較の話をします。結論からいえば、FAXや郵送でも盗聴も出来れば誤送信も起こります。ただひとつ違うのは、紙ベースなので、よほど関心がない限り、ソーシャル・ネットワーク・サービスのような一気に広まるツールの軌道に乗せようとする確率は低いと考えられます。もちろん、ゼロではありませんが、圧倒的に低いのは間違いありません。データが怖いのは、「手軽」にソーシャル・ネットワーク・サービスに載せられるということです。

 このような観点から、お客さまの重要な情報や、できれば公開したくない情報については、ファイルにパスワードをかけてメールなどで送信するようにしています。

カテゴリー: ITの適正活用

キーワード:

コメントとトラックバック: 1件あり

トラックバック先:

コメント(1件あります)

  1. いちご より:

    私もそうおもいます!

コメントを残す