メール添付のファイルにパスワードをつける効果とは?
デメリットや代替となるセキュリティ対策も紹介
企業間のメール送受信において、情報漏えいリスクの軽減対策として「添付ファイルにパスワードをつけて送信し、
別メールでパスワードを送付すること」を義務付けられている場合があります。
受け手には不便に感じられることも多く、
「なぜパスワードを設定する必要があるんだろう」と疑問に思う方もいるかもしれません。
本記事では、添付ファイルにパスワードをつけて送る効果や、近年周知されてきている注意点、
この方法に代わる最新のセキュリティ対策について紹介します。
目次
メールの情報漏えいのリスクと、添付ファイルにパスワードをつける効果とは
かつて、政府を始め多くの企業で、情報漏えいのリスクを低減するための方法として、送りたいファイルを暗号化してメール添付で送り、その暗号化を解除するパスワードを別のメールで知らせる方法が一般的になっていました。万一、意図しない相手に誤ってメールを送った場合や、悪意ある第三者がインターネット上でメールを盗み見した場合にも、添付ファイルが暗号化されていればすぐには開封できないことから、セキュリティ対策として普及していたのです。
しかし現在では、このようにパスワード付きファイルとパスワードを同じメール経路で送信する場合、添付ファイルを送ったメールが盗み見できれば、その後のパスワードのメールも盗み見できる可能性が高く、セキュリティ対策としては脆弱であるということが知られています。
そのため、内閣府は2020年に、職員から外部へのメール送信で従来採用してきたこの方法を廃止。メールでのファイル送信時には、パスワードをその都度メールで送るのではなく、双方であらかじめ決めたパスワードで開封してもらうこととしました。その際、ファイル1点ならWordやExcelなどそのソフトにある暗号化機能を使い、複数ファイルを送るならZipファイルで一括して暗号化します。
また、今後はメールではなくストレージサービスの利用も増やすと発表しました。
メール添付ファイルの暗号化で情報漏えいリスクを軽減するには?
パスワードをメール以外の方法で送付する
内閣府が運用を変えたとおり、メールの添付ファイルのパスワードをその都度メールで送ることは避けるべきです。この例のように、あらかじめ決めたパスワードを使うのもよいですが、安全性確保のためには定期的なパスワードの変更は必要になります。そこで、そのほかの方法としては、メールではなく、SMSやメッセージアプリ、電話など、別の経路でパスワードを送付することが有効です。
メール以外でのパスワード送付も万全策ではないことを理解しておく
ただし、これも万全な対策ではないということを押さえておきましょう。この後で解説するように、盗み見や誤送信によりメールに不正アクセスした第三者が、ある程度の手間をかけたり、技術さえ持っていたりすれば、添付ファイルのパスワードが解析されるリスクがあります。また、暗号化によく使われるZipファイルのメール添付は、かえってウイルス感染を高める恐れもあるのです。
そのため文部科学省は、2022年1月4日以降パスワード付きのZipファイルを添付する方法をやめ、クラウドストレージを使って情報をやりとりすることを公表しています。
メールの添付ファイルの暗号化は、パスワードをメール以外で送ることで、ある程度の対策になりますが、機密情報やお客さまの個人情報リストなど、絶対に漏れてはいけないファイルを送る際には避けたほうが無難です。
メールでパスワード付きファイルを添付する危険性
では、パスワード付きファイルのメール添付にはどんな危険があるのか、みていきましょう。
パスワードが解析される恐れがある
世の中には、万一自分でパスワード忘れてしまった際に、正しいパスワードを解析してくれるソフトが存在しています。しかし、これを第三者が使った場合には、比較的容易にパスワードを解析され、暗号化が解除されてしまう可能性があります。
特に、添付ファイルの圧縮・暗号化によく使われるZipファイルは、脆弱だと指摘されています。一般的なパソコンによる解析でも、パスワードが8桁程度なら1日もかからずに分かってしまうといいます。
ただ、コンピュータでパスワードを総当たりさせて解析するので、桁数が多いほど、また文字種が多いほど総当たりの回数が増えて解析に時間がかかります。政府は、パスワードは少なくとも10桁以上とし、大文字・小文字の英数字、記号を組み合わせることを推奨しています。
Zipファイルはウイルスチェックができない
圧縮してZipに変換したファイルは、解凍前にウイルススキャンができない可能性があります。基本的にウイルスソフトはメールを受信した瞬間に中身をチェックし、リスクのあるものは排除するシステムを採用しています。しかし、Zipファイルは解凍しなければ中身が確認できないため、チェックをスルーしてメールが届く恐れがあります。万が一Zipファイルの中にウイルスが紛れ込んでいた場合、相手企業がウイルスに感染する原因を作ってしまうのです。Zipファイルにすることでかえってリスクが高まることがあるといえます。
パスワード付きファイルのメール添付は、実は相手先にとって迷惑?
リスクがあるだけでなく、メールにパスワード付きのファイルを添付する方法は、相手先にとっては不便を感じるものになっています。暗号化ファイルが届くたびに、パスワードを送信する別のメールを開いてパスワードをコピー&ペーストし、暗号化ファイルを開くという手間が発生します。地味な作業ではありますが、これが毎日のように届くとなると、負担感は高いものになります。
これからのファイル送付にクラウドストレージが適している理由とは
では、リスクや手間が問題となっている、パスワード付きファイルのメール添付から、今後はどんな方法に移行すればよいのでしょうか。
複数の政府機関が今後活用を広げると表明しているように、外部へのファイル送付には「クラウドストレージ」が適しています。その理由を紹介します。
1.比較的安全に利用できる
「クラウドストレージ」とは、インターネット上に設置されたデータ保管の共有スペースです。クラウドストレージは、管理者があらかじめ共有を許可した相手しかアクセスができないため、第三者から情報を盗まれるリスクが低いのが特徴です。パスワード付きのファイルをメール送信する方法と比較して、クラウドストレージは安全性が高いといえます。また、上長などがファイル送付を承認する機能など、送付ミスを防ぐ機能が備わっているサービスも多くあります。
やりとりの相手が明確化され、閉鎖的な状態でデータを共有でき、通信履歴(ログ)を取れるなど、何かあったときに検証ができるものもあります。
2.データ共有が簡略化される
使用するサービスにもよりますが、ドラッグ&ドロップだけでデータのアップロードや相手への共有が可能など、操作が簡単なのが特徴です。
受け取る側も共有URLなどのクリックだけで簡単にファイルをダウンロードできます。パスワードをメールで確認、入力してファイルを開封するといった手間はありません。
クラウドストレージには、データをアップした時点でファイルを暗号化するものもあります。クラウドストレージを選ぶ際、保存するデータに高レベルの安全性が必要な場合は、暗号化機能の有無も確認するのがおすすめです。
3.メールが重くならない
メールへのファイル添付の場合メールの容量が大きくなってしまうと、容量制限で送れなかったり、ファイルを分割する手間がかかったりと、思わぬ負担がかかることがありました。しかし、クラウドストレージならメールなどでデータ共有リンクのURLを送るだけなので、大容量のファイルも気にすることなく送ることができ、受け取る側も共有リンクのURLをクリックするだけで、データのスムーズなダウンロード・開封が可能です。
画像や動画、音声といった大容量のデータを送信する機会が多いのなら、クラウドストレージにより日々の業務の利便性が飛躍的に高まるでしょう。
まとめ
メールにパスワード付きのファイルを添付して送信する方法は、急速に過去のものとなりつつあります。今後はクラウドストレージなどを活用して、よりスムーズにデータの共有が行える環境を構築することが求められるでしょう。
ファイルの送信・データ共有の環境整備には、2000サイト以上の導入実績を持つ富士フイルムの法人向けクラウド型ファイル転送・送受信サービス「SECURE DELIVER」がおすすめです。「SECURE DELIVER」は、ファイルの送受信に特化したシステムのため、シンプルかつ直感的に利用できる操作性で利用者にご好評をいただいています。利用者数による課金ではなく、利用プランに応じて支払い金額が決まる半従量課金方式のため、低コストで全社への導入が可能です。7日間でデータをサーバーから自動削除するので、漏えいリスクを低減できる点、サーバー容量の管理が不要な点も大きなメリットです。
この機会に「SECURE DELIVER」の特徴をご確認いただき、ぜひ導入をご検討ください。