社外関係者とのファイル共有方法として、ファイルをzip形式で圧縮しメールに添付し、それを開くためのパスワードを同じくメールで別送する、といった方法がよく使われていると思います。多くの企業で採用されるこの方法ですが、実はセキュリティリスクが高く政府機関での廃止も発表されているのです。
今回は、このメールによるパスワード別送方法の概要や問題点、代替共有方法についてご紹介します。
メールでパスワードを別送する方法とは
メールは仕事上欠かせない情報伝達手段として、ほとんどの企業で利用されています。本文のテキストはもちろん、個人情報や機密情報を含む情報を添付ファイルとして相手に送信することもあります。その際によく使われる方法が、パスワード付きzipファイルの添付です。
これは、安全性のためにファイルを暗号化し、zip形式に圧縮してから添付ファイルとしてメールで送信した直後、別のメールでパスワードだけを送信して受信者に知らせる方法です。
zip圧縮は、ファイルの圧縮方式としてもっともよく利用される方式で、本来は複数のデータを1つにまとめて、データ容量を軽くする目的で使用されます。しかしここでは、パスワードをかけるという本来とは異なる用途で利用されています。
パスワードを別メールで送信するのは、万一メールが盗聴されたときに、ファイルとパスワードが別々のほうがリスクは低いと考えられているためです。
この方法は長らく「安全に添付ファイルを送信する方法」と信じられ、現在でも多くの企業で行われていますが、その一方で以前より、安全性の低さが指摘されており、2020年11月に政府機関での廃止が発表されました。
メールによるパスワード別送方法の問題点
メールからの情報漏洩リスク
1つ目は、メールからの情報漏洩の問題です。メールを送信するときには、メールソフトとメールサーバー間や、メールサーバー同士で通信を行う際、内容を盗聴されるリスクがあります。
パスワードで暗号化しているため安全と思われるかもしれませんが、現在ほとんどの場合において、添付ファイル付きのメールとパスワードが書かれたメールは同じメールソフトで送信しています。そのため同じルートとなり、時間をあけずに送信した場合には両方盗聴されてしまうリスクがあり、安全性が高いとは言えないのです。
「パスワードが書かれたメールだけ別ルートのメールで送信する」「FAXで送信する」などの方法をとった場合は、ある程度安全性が高まります。
圧縮ファイルに潜むセキュリティリスク
2つ目はzipファイルに対してウイルスチェックができないということです。
多くの企業では現在、職場のPCにセキュリティ対策ソフトがインストールされ、メールサーバー上でもウイルスチェックを行う仕組みが整っていますが、暗号化されたzipファイルに対しては、ほとんどのウイルス対策ソフトではチェックの実施が困難です。
そのため、ウイルスが圧縮ファイルに仕込まれていた場合、それを感知することができません。
パスワード付きzipファイルを悪用したマルウェアが増加していることもあり、セキュリティを考慮すると、パスワード付きのzipファイルはメールで送受信しない方がいいと思われます。
受信者の管理工数の増加
メールでパスワードを別送する方法は、メールを受信した側にとっても工数が増えるため、業務効率の面でも問題となります。受信者はzipファイルを開くたびに、送信者から受け取ったパスワードが書かれたメールを探すことになるため、管理する手間が増えて非効率です。
「相手に対して一定期間同じパスワードをかける」という方法も考えられますが、これではパスワードが漏洩した場合に多くのファイルが開封できてしまうため、セキュリティリスクを考えると適切ではないでしょう。
代替共有方法について
メールでパスワードを別送する方法に代わる安全なメール送信方法は、いくつか代替案こそ挙げられており、その中で比較的安全性が高い方法として注目されているのが、クラウドストレージの利用です。
クラウドストレージとは、インターネット上にデータを保管するための場所を提供するサービスのことです。社内でのファイル共有などに利用されますが、取引先や業者など外部企業とのデータのやりとりにも利用でき、近年採用が進んでいます。
具体的には、メールで機密データを送信する代わりに、クラウドストレージにファイルを保存し、共有リンクを相手に伝えてデータを受け取ってもらいます。サービスによっては、受取人の指定や有効期限などを設定できるため、より安全性を高めることができます。
また、添付ファイルが不要となるため、ウイルスチェックがかけられないといった問題やzipファイルを開けないモバイルからのアクセスに関する問題も解決することができます。
まとめ
多くの企業で安全なデータの受け渡し方法として行われてきたメールでパスワードを別送する方法ですが、安全性を確認する前に「皆がやっているから」という理由で行ってきたところも多いかと思います。
パスワード付きzipファイルの信頼性も低くなってきていますので、これを期にパスワード付きzipファイルに代わる代替策としてクラウドストレージなどを活用した方法を調査、検討してみましょう。