よく重要なファイルをメールを使って送る場合に、ファイルに「パスワード」付きの圧縮をかけてからメールに添付してくる場合があります。
そして別のメールでパスワードだけを送ってきて、2つのメールを組み合わせることで、やっとファイルを解凍できるようになる方法を採用している場合があります。
ひとまず質問です。
重要なファイルをパスワードをかけてメールで送る場合にどちらの方がセキュリティが高くて安全だと思いますか?
A.「あらかじめ決めておいたパスワードを毎回使い回しにする」
B.「メールで毎回違うパスワードを送る」
正解は「A」になります。
どちらとも問題はあるのですが、危険性では「A」の方が高くなります。
こういった取り組み自体はセキュリティを考えて行っていますので、もちろんいいことなのですが、この方法には大きな問題がありますので指摘をしたいと思います。
なぜ2通にわけて送って欲しくないか
単純に「セキュリティ的がすごく甘くて意味がない」からです。
この方法では以下のセキュリティが考慮されていると思います。
・1つのメールでパスワードも送ると不正に傍受された場合、重要なファイルが開かれてしまう。
・パスワードをランダム(自動作成)にして毎回使い回しをしないことで、安全性を高めている。
もちろん同じパスワードを使わないことは、安全性を高めます。(これは構いません。)
ですが、「メールを不正に傍受された場合」ではもちろんパスワードのメールも不正に傍受できるのです。
もし不正アクセス者が偶然に1通だけしか見なかったとしても、既にメールを見れる環境にあるのですから、普通は前後のメールもチェックします。
そのため2通に分けて送ってもセキュリティ的にまったく意味がないのです。
パスワードのメールをかなりの時間差で送信するなら多少意味があるかもしれませんが、それでも「送信者のアドレス」で少し探せばすぐ見つかってしまいます。(そもそもパスワードをメールで送っちゃダメ。)
はっきり言って、単純に不正アクセス者の圧縮ファイルのパスワード解析の手間が省けるだけなのです。(一般的なZIPやLZHのパスワード解析ソフトは探せばごろごろ転がっています。)
ここまで聞けば、先ほどの質問のA.「あらかじめ決めておいたパスワードを使い回しする」危険性とB.「メールで毎回違うパスワードを送る」の危険性とでは、どちらの方が危険かはすぐ分かると思います。
だってパソコンのログイン方法だって「あらかじめ決めておいたパスワードを使い回しする」なのですから。(ちなみにパスワードをモニタなどに貼るとかは論外。)
他の安全な方法は?
もちろん、より安全な方法がありますので、以下のような方法にすれば安全性は高まります。
・ファイルの場合は文書そのものにパスワードをかける。(ExcelやWordの場合など)
これは一般的なツールでの暗号化解除が出来なくなるため、文書の内容の安全性は高まります。
※PDFでも暗号化は可能ですが、Acrobat Reader(無料)では出来ないので注意が必要です。
・直接担当者へ電話で伝える。
周りの人に聞こえてしまう可能性はありますので、注意が必要です。
・別のメールやショートメッセージで伝える。
携帯などの別のメールアドレスに送ったり、ショートメッセージで伝えられればより安全になります。
・ファイル共有されたフォルダの共有リンクを送る。
リンク先ではパスワードまたはメールアドレスなどでの承認が必要な形で共有してください。
・SkypeやFaceBookなどで直接ファイルを送信する。
最初にお互いの承認を取るのは大変ですが、この方法は安全です。なりすましの可能性はありますので、多少の注意は必要です。
まとめ
残念ながら現状、メールの仕組みはほとんど暗号化されていない通信方法でいまも利用がされています。そのため不正アクセスによる傍受が比較的簡単な部類に入ります。
また、セキュリティを最大限に考慮して対策をしても、セキュリティは万能ではありません。(パスワードはソーシャルハッキングやハニートラップですぐ漏れます。)
もちろんセキュリティが高めすぎると、それに比例して利便性が低くなります。(面倒くさくなる。)
そういったことを考慮して、ファイル共有の運用方針の検討と導入をしていってください。
