質問

2008年07月21日 00時03分
  • 添付ファイルのパスワード保護について

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

メールの添付ファイルのパスワード保護について皆様にご意見を
お聞きしたいと思い投稿させていただきました。

当社ではIT統制の関係で、メールの添付ファイルは、今後例外なく
「パスワード付きZIPにする」
という規則にしようとしておりました。
(機密性の高いものだけ・・などとした場合、その判断に個人差がでてしまうため
という判断からです)

しかし、一部の社員から
「なんでもかんでもというのは面倒すぎる」
「業務効率が低下する」
などの批判がでてきています。

皆様のところでは、どの程度規制されていますか?
業種によっても温度差があるかと思うのですが、参考までにお聞かせ願えればと存じます!
ちなみに私どもの会社は個人情報を頻繁に取り扱っているので、厳しくせざるを得ないかなとは思っています。

よろしくお願いします!

8件の回答があります

回答

機密情報の線引きが出来ないから例外なくというのは
少々乱暴ですね。これでは怠慢だととらえられても
仕方有りません。

機密性の高いものと個人情報とでは守らなくてはならない
という点では同じですが、守る目的は一緒とはならないので
別個に考えた方がいいでしょう。

あまり考えたくないということならツールで強制してしまうのが
手っ取り早いでしょう。outlookを使っているなら
securezipを使えば半自動でパス付きzipが送れます。

2008年07月21日 14時04分

回答

当社ではIT統制の関係で
私だったら「IT統制のどこにパスワード付き添付ファイルにしろなどと書いてあるんだ」と反論してしまいますね。 (笑)
はっきりと「セキュリティ対策の為に我が社はこの方針で行くのだ」という宣言を経営者にしていただくほうがよいかと。

個人情報を頻繁に取り扱っているので
ならば厳しくてもいいと思います。

添付ファイルのあるメールを出すと自動的にパスワードがついて、別メールにパスワードが記入されたのが出来るというソフトがあったかと思います。
あとで調べてみます。

、メールの添付ファイルは、今後例外なく

2008年07月21日 15時42分

回答

今回の件は、メールの誤送信等による情報漏洩対策と取れる面もあり
ますので、個人情報を頻繁に取り扱う以上必須とは思います。
送られているメールには、いくつかのパターンがあると思いますので
その内容に合わせて規則を作成されたら如何でしょうか。
どのようなメールが出回っているのかを調べて、この添付ファイルは
どういう理由で危ないと説明すれば、ユーザーも納得するはずです。

2008年07月21日 16時45分
rem

回答

私もremさんと同じで、
情報漏えい対策の手段として上記の対策は必要だと思います。
取引先に実際に上記と同じルールでメール運用している会社があります。
その会社では機密情報を扱うので、添付ファイルのZIP+パスワード化と
別メールでパスワードを送付する手段をとっています。
その会社では、社外の取引先に対してもそのルールを徹底していました。
メール添付できないケースは、ファイルサーバやCD-ROM等を利用して
データをやりとりしています。

ユーザが情報漏えいに対する危機感を持ってもらえれば
理解していただけるのではないかと思います。

圧縮したことでファイルを壊す場合があるので、
(画像ファイルとかは特にそうだと思います)
添付ファイルのZIP化以外の方法も考えておかないといけないと思います。

回答

この問題は
「なんでもかんでもというのは面倒すぎる」
「業務効率が低下する」
ではなく、経営者ならびに会社による決め事であれば
当然遵守すべきことです。

経営者から是非を問われているならともかく、そうでなければ決定事項に対して何かしたいのであれば、それなりに論拠を示す、代替案を提出するぐらいの覚悟と責任を持てるかということです。

この種のセキュリティに関することは、完璧な防御方法がない以上、厳しすぎるぐらいが良いのでは思います。ここは論議すべきはいかにストレスなくルール化されたことが守られるかでしょう。セキュリティでの問題で最も多かったのが「ルールの形骸化」だったという調査結果もありました。

2008年07月22日 00時51分

回答

添付ファイルのZIP暗号化は、現状ではやむを得ない面もあると思います。

しかし、次のような潜在的危険性もあります。

  • 悪意のある確信犯が暗号化ZIPで機密情報を持ち出しても、パスワードがわからない限り検証しようがなくなる(「電話で伝えたけど忘れた」などと言われたら、どうしようもなくなる)。

  • コンプライアンスの観点から、全メールをアーカイブすることになった場合、添付ファイルも含めた後日の検索ができなくなる(パスワードが別メールで送られていたら、個別に復号できるでしょうが)

  • (受け取る側の問題として)故意または悪意でワームやボットなどが暗号化ZIPファイルに含まれていた場合、感染するリスクが高まる。クライアントPCのウィルス対策ソフトなどである程度は防止できるでしょうが....実際、過去に暗号化ZIPによるワーム感染の事例が報告されています。

  • (これも受け取る側の問題ですが)暗号化されたファイルを開くために一時ディレクトリなどにファイルが溜まります。最近のハードディスクの容量は大きいから負担になるほどではありませんが、ちょっとうっとおしいかも。また後日そのファイルを開くときにパスワードを探さなければならないため、正直いって面倒です。面倒を理由にすべきではないのはわかっていますが、受け取る側にそういった負担はあまりかけたくないですね。

ファイルのやりとり専用のWebシステムがいくつか出ていますので、機密性の高いファイルはそういったシステムを使うというのも、ひとつの対策でしょう。これも手間がかかって面倒でしょうが。

あるいはPGPやS/MIMEを使ったメール自体の暗号化も候補になりますが、普及度が低いのが難点かもしれません。

こういったリスクも考慮した上で、現実的かつバランスの取れた対策をご検討ください。ちなみに私はWebシステム利用派です。100パーセントではありませんが。

2008年07月22日 02時10分

回答

関係がありそうなソフトを紹介します。
(Enterprise Watch [zip] で検索した結果より)
(もしかしたら、desatoさんが紹介しようとしたソフトも含まれるかも?、スミマセン)

2008年07月22日 02時41分

回答

関係がありそうなソフトを紹介します。
(Enterprise Watch [メール暗号化] で検索した結果より)

desatoさんが紹介していらっしゃる、「BRODIAEA safeAttach」もありました。180万円〜+保守費用なので、約200万円〜が目安になりそうです。
(以前、紹介したメール添付ファイルの自動暗号化を実現する「暗号化連携ソリューション」 は、この製品と他の製品を組み合わせたモノのようです)

2008年07月23日 16時19分

あなたもコメントしましょう!