メールでパスワード別送は意味がある?意味がない?
最終更新日
2023年09月07日
メールでパスワード別送は日本独自のガラパゴスルールなのか
第28回 「続けてパスワード送付」欧米でまったく使われないワケ (1/2) - ITmedia エンタープライズ
によると、メールでパスワード別送は日本独自のガラパゴスルールだそうです。このルールが日本で広まった理由は何なのか。
同記事には、情シス担当者の方に導入理由を聞くと返ってくる答えを紹介しています。
(2)についてですが、日本独自の認定制度「プライバシーマーク(Pマーク)」では2010年の書類審査改定で添付ファイルの扱いが具体的に指示されるようになりました。そこで、添付ファイルをパスワードで暗号化することが指示されています。
国際基準である ISMS(情報セキュリティマネジメントシステム、ISO/IEC 27001)では、具体的ではないながらも情報保護が指示されているため、SIベンダーにとっては対策を講じる必要があります。
これらは、取得奨励されている認定資格ですが、認定を受けていないと入札資格を得られない案件もあり、企業として必須資格となっています。
そして(3)につながりますが、運用はできるが再構築や再設計は難しい日本のエンドユーザーのニーズには、既存のメールシステムに手を加えずに後付けで導入できるパスワード別送がピッタリです。
(1)というよりは(2)と(3)により、パスワード別送という日本独自のガラパゴスルールは広まったようです。
しかし、日本ほどではなくても欧米でもパスワード別送というルールを採用し広まってもおかしくありませんが、同記事には欧米では採用しない理由について書かれており、簡易に述べると以下のとおりです。
・パスワードで保護しても比較的簡単にパスワード解析できてしまう
・添付ファイルの扱いについてパスワード保護が指示されているプライバシーマークは日本独自のものであり、ISMS の方は国際基準ですが欧米企業はそれほど前向きではない
・最大の理由は面倒くさいであり、実際に欧米の担当者宛にメールでパスワード別送を試すと8〜9割のメールは返事が返ってくることはないと思われる
欧米ではどうしているのか疑問ですが、同記事によると機密ではないファイルの場合は暗号化せずにメールに添付して送信しているようです。
機密ファイルの場合は、閲覧者を明示的に指定できる仕組み、例えば IRM(Information Rights Management)といった技術を利用するそうです。このような仕組みでは、パソコンにログインする際のユーザー情報でファイルを開閉しますので、パスワードは不要です
同記事には、情シス担当者の方に導入理由を聞くと返ってくる答えを紹介しています。
(1)「情報漏えい事件の防止や、起きてしまった場合のリスクヘッジである」(1)についてですが、添付ファイル付きのメールを誤送信してしまってもパスワードを別送するまでに気づけば、添付ファイルは暗号化されているので大事には至りません。また、情報漏えい事件が起こってしまった場合、情報漏えいが起きないように取り組んでいたと弁明でき訴訟対策にもなります。
(2)「情報セキュリティの資格認定に必要だから」
(3)「既存システムはそのままで対応できるから」
(2)についてですが、日本独自の認定制度「プライバシーマーク(Pマーク)」では2010年の書類審査改定で添付ファイルの扱いが具体的に指示されるようになりました。そこで、添付ファイルをパスワードで暗号化することが指示されています。
国際基準である ISMS(情報セキュリティマネジメントシステム、ISO/IEC 27001)では、具体的ではないながらも情報保護が指示されているため、SIベンダーにとっては対策を講じる必要があります。
これらは、取得奨励されている認定資格ですが、認定を受けていないと入札資格を得られない案件もあり、企業として必須資格となっています。
そして(3)につながりますが、運用はできるが再構築や再設計は難しい日本のエンドユーザーのニーズには、既存のメールシステムに手を加えずに後付けで導入できるパスワード別送がピッタリです。
(1)というよりは(2)と(3)により、パスワード別送という日本独自のガラパゴスルールは広まったようです。
しかし、日本ほどではなくても欧米でもパスワード別送というルールを採用し広まってもおかしくありませんが、同記事には欧米では採用しない理由について書かれており、簡易に述べると以下のとおりです。
・パスワードで保護しても比較的簡単にパスワード解析できてしまう
・添付ファイルの扱いについてパスワード保護が指示されているプライバシーマークは日本独自のものであり、ISMS の方は国際基準ですが欧米企業はそれほど前向きではない
・最大の理由は面倒くさいであり、実際に欧米の担当者宛にメールでパスワード別送を試すと8〜9割のメールは返事が返ってくることはないと思われる
欧米ではどうしているのか疑問ですが、同記事によると機密ではないファイルの場合は暗号化せずにメールに添付して送信しているようです。
機密ファイルの場合は、閲覧者を明示的に指定できる仕組み、例えば IRM(Information Rights Management)といった技術を利用するそうです。このような仕組みでは、パソコンにログインする際のユーザー情報でファイルを開閉しますので、パスワードは不要です
| ・誤送信による情報漏えい防止策、万が一情報漏えいしてしまった場合の訴訟対策になる ・既存システムそのままでプライバシーマークや ISMS の認定を受けやすくなる |
|---|
メールでパスワード別送にすれば盗聴防止策になるのか
以下に紹介する記事では、メールの盗聴に注目してメールでパスワード別送は意味があるのかないのか論じています。
パスワードの別送に意味はある? - 10の疑問を試して解明 セキュリティ大実験室:日経 xTECH Active では、ファイルを添付したメールを盗聴できる攻撃者は、パスワードを記載したメールも盗聴できるかどうか実験で確かめた結果を掲載しています。
実験結果だけを簡単に言うと、パスワードを記載したメールも盗聴できます。ただし、さほど難しくありませんが、簡単ではありません。
同記事では、「万全の盗聴防止策ではないと理解したうえで、パスワードの別送を運用すべきだろう。」と書いており、意味がないとまでは言っていません。
「パスワードだけ別メールで送れば安全」、それってホント? - ITmedia エンタープライズ でも、同じようにメールでパスワードを別送しても比較的容易に盗めますので、「パスワードだけ別メールで送っても、盗聴対策にはほとんど効果なし!」と結論を出しています。
しかし、添付ファイル付きメールを誤送信してしまい、後にメールでパスワードを送信する前に誤送信だと気づけば、添付ファイルは流出しますが添付ファイルの中身が漏れることはありませんので、誤送信に関しては意味があるとしています。
パスワードの別送に意味はある? - 10の疑問を試して解明 セキュリティ大実験室:日経 xTECH Active では、ファイルを添付したメールを盗聴できる攻撃者は、パスワードを記載したメールも盗聴できるかどうか実験で確かめた結果を掲載しています。
実験結果だけを簡単に言うと、パスワードを記載したメールも盗聴できます。ただし、さほど難しくありませんが、簡単ではありません。
同記事では、「万全の盗聴防止策ではないと理解したうえで、パスワードの別送を運用すべきだろう。」と書いており、意味がないとまでは言っていません。
「パスワードだけ別メールで送れば安全」、それってホント? - ITmedia エンタープライズ でも、同じようにメールでパスワードを別送しても比較的容易に盗めますので、「パスワードだけ別メールで送っても、盗聴対策にはほとんど効果なし!」と結論を出しています。
しかし、添付ファイル付きメールを誤送信してしまい、後にメールでパスワードを送信する前に誤送信だと気づけば、添付ファイルは流出しますが添付ファイルの中身が漏れることはありませんので、誤送信に関しては意味があるとしています。
| ・メールでパスワード別送しても盗聴対策にはあまりならない ・添付ファイル付きメールを誤送信してしまった場合、メールでパスワード別送する前に気づけば添付ファイル中身の漏れを防げる |
|---|
| キャンペーン情報(PR) |
|---|
|
富士通 ・シークレットクーポン 特別割引のクーポン (キャンペーン実施中) |
