ビジネスやプライベートでファイルをメールに添付してやり取りする際、添付するファイルにパスワードが設定されていることがある。開くのを面倒と感じた人も多いのではないだろうか。果たしてパスワードにはどれほどの効果があるのだろうか?
義務付けている企業も多い
社外にファイルを送る際にパスワードを設定するということを、情報セキュリティの面で社内規定として義務付けている企業や組織体も数多い。
情報漏えいのケースとして、社外からマルウェアやコンピュータウィルスに感染して漏えいするケースや、ファイルが保存されたUSBメモリを紛失するというケースが考えられる。
ただ送るべき送信先ではない場所に添付ファイル付きのメールを誤送信するケースも少なくない。仮に誤送信した場合、ファイルにパスワードが設定されていれば、メールを誤送信したとしてもパスワードが不明ならば開くことができないため、被害は最小限に食い止められる。いわゆる「フェイルセーフ」の考え方である。
誤送信以外にも、クラッキング(不正アクセス)などの不正行為に対抗するという目的もある。いずれにしろ、パスワードを設定することによって「最後の砦」として機能し、それをコンプライアンス的に要求するという事になる。
パスワードの設定方法は様々
WordやExcelで作られたファイルであれば、保存時にパスワード設定が可能であり、比較的容易に、かつ特殊なソフトウェアなどの追加コストを必要とせずにファイルのパスワードが設定できる。
それ以外のファイル、あるいは複数のファイルに対してパスワードを掛ける方法として、圧縮ファイル(ZIPファイル)にパスワードを設定するという方法もある。Lhaplus(ラプラス)などのフリーウェアを使用すれば、お金はかからない。
公開するユーザを限定して、さらにパスワードを設定可能なクラウドストレージにファイルを保存するという手段もある。Dropboxなどでは有料版になるが、特にメール添付するには大きいサイズのファイルの場合は有効である。
実効性と実用性
いずれの手段を使用したとしても、一番の問題は「パスワードをどのように知らせるのか」という点だ。
メール添付の場合は、添付ファイルに設定されたパスワードを、さらに別のメールにて通知するという手段がよく用いられる。また、添付ファイル付きのメールの本文にパスワードが通知されているというケースもある。
しかしこの場合、「メール」「ファイル」「パスワード」が一通のメール内ですべて完結しているため、仮にそのメールをクラッキングされた場合、パスワード設定の意味が無くなる。前者の場合には危険性は小さくなるが、PCそのものがクラッキングなどで乗っ取られた場合、結果的には危険性は変わらなくなる。
それではパスワードを別の手段で送ればどうだろうか。
「メール」「ファイル」「パスワード」という一連の手段で使用されるものを、それぞれ別媒体で管理し送信するというケースである。
筆者が遭遇した中で最も厳しかった例を挙げると、メールに添付したファイルのパスワードを手書きにし、それを「郵送」で(電子メールではない)、しかも書留にして送るというケースがあった。たしかにこれだとセキュリティ的にはかなり強固だが、一瞬で送付できるというメールならではのメリットがほとんどないため、実用性という意味で考えればあまり現実的ではない。
ITの専門家から見て思う事
情報セキュリティの三大要件として「機密性」「完全性」「可用性」が挙げられ、パスワードなどを使う「機密性」、内容が改竄されないという「完全性」、情報を必要な時に使える「可用性」と定義されている。
メールによる添付ファイル(情報)にパスワードというケースでは、まずパスワードを設定することで「機密性」が確保され、それにより必然的に「完全性」が担保される。
問題は「可用性」であり、パスワードが不明でファイルを復元できない場合可用性はゼロとなり、情報としての意味を為さなくなる。
かといってパスワードが簡単に類推、あるいは同一メールですべて完結するような形でパスワードが簡単に判明してしまうのであれば、可用性は高いがそのほかの要件は全く満たせなくなる。ダイヤル式の金庫に、合わせ番号を付箋に書いて貼っておくようなものである。
意味は無いわけではないが、方法は検討する必要がある
セキュリティを強固にしていけば、それだけ機密性は高くなるが、逆にとても使いづらいものになってしまう。
しかしセキュリティを考慮しない場合、もちろん使いやすくはなるが危険度も高くなる。ファイルにパスワードを掛けてメールに添付して送ることは、パスワード設定という手段が取られている以上、それほど意味がないという訳ではない。何もしないよりは、はるかに安全である。
少なくともそのメールにパスワードを書いて送るという事は避け、別のメールで伝えたほうが良い。メールを含むセキュリティ対策では、リスクと可用性(コスト)のバランスを常に考慮し、適切な方法を検討することが重要だ。(信濃兼好、メガリスITアライアンス ITコンサルタント)