ビジネスやプライベートでファイルをメールに添付してやり取りする際、添付するファイルにパスワードが設定されていることがある。開くのを面倒と感じた人も多いのではないだろうか。果たしてパスワードにはどれほどの効果があるのだろうか?
義務付けている企業も多い
社外にファイルを送る際にパスワードを設定するということを、情報セキュリティの面で社内規定として義務付けている企業や組織体も数多い。
情報漏えいのケースとして、社外からマルウェアやコンピュータウィルスに感染して漏えいするケースや、ファイルが保存されたUSBメモリを紛失するというケースが考えられる。
ただ送るべき送信先ではない場所に添付ファイル付きのメールを誤送信するケースも少なくない。仮に誤送信した場合、ファイルにパスワードが設定されていれば、メールを誤送信したとしてもパスワードが不明ならば開くことができないため、被害は最小限に食い止められる。いわゆる「フェイルセーフ」の考え方である。
誤送信以外にも、クラッキング(不正アクセス)などの不正行為に対抗するという目的もある。いずれにしろ、パスワードを設定することによって「最後の砦」として機能し、それをコンプライアンス的に要求するという事になる。
パスワードの設定方法は様々
WordやExcelで作られたファイルであれば、保存時にパスワード設定が可能であり、比較的容易に、かつ特殊なソフトウェアなどの追加コストを必要とせずにファイルのパスワードが設定できる。
それ以外のファイル、あるいは複数のファイルに対してパスワードを掛ける方法として、圧縮ファイル(ZIPファイル)にパスワードを設定するという方法もある。Lhaplus(ラプラス)などのフリーウェアを使用すれば、お金はかからない。
公開するユーザを限定して、さらにパスワードを設定可能なクラウドストレージにファイルを保存するという手段もある。Dropboxなどでは有料版になるが、特にメール添付するには大きいサイズのファイルの場合は有効である。
実効性と実用性
いずれの手段を使用したとしても、一番の問題は「パスワードをどのように知らせるのか」という点だ。
メール添付の場合は、添付ファイルに設定されたパスワードを、さらに別のメールにて通知するという手段がよく用いられる。また、添付ファイル付きのメールの本文にパスワードが通知されているというケースもある。
しかしこの場合、「メール」「ファイル」「パスワード」が一通のメール内ですべて完結しているため、仮にそのメールをクラッキングされた場合、パスワード設定の意味が無くなる。前者の場合には危険性は小さくなるが、PCそのものがクラッキングなどで乗っ取られた場合、結果的には危険性は変わらなくなる。
それではパスワードを別の手段で送ればどうだろうか。
「メール」「ファイル」「パスワード」という一連の手段で使用されるものを、それぞれ別媒体で管理し送信するというケースである。
筆者が遭遇した中で最も厳しかった例を挙げると、メールに添付したファイルのパスワードを手書きにし、それを「郵送」で(電子メールではない)、しかも書留にして送るというケースがあった。たしかにこれだとセキュリティ的にはかなり強固だが、一瞬で送付できるというメールならではのメリットがほとんどないため、実用性という意味で考えればあまり現実的ではない。