【社長ブログ】PWは別途お送りします・・・の誤り
JOPS社長ブログ
cooperated by several associates
第8話 意外と知られていない情報セキュリティの常識
第1回 PWは別途お送りします・・・の誤り
今回の話はJOPSの本業でもある、情報セキュリティに関する話です。
私自身がこの業界に入ったのは比較的最近のことであることは何度か述べました。
64才の時に前職を卒業し、未経験だったこの業界に縁ができたわけですが、前職では若い頃からパソコンを業務で活用しており、職場に数台のパソコンが導入された時には、そのパソコンを使って結構プログラムを作成し業務に役立てていました。私が若かった頃は、パソコンが単独で動く(=ネットワークでつながっていない)のが一般的な時代でした。そのため、インターネットの使用経験は、いわゆる「インターネットオタク」の皆さんの足元にも及びません。
ですから、私自身も含めた一般の人が情報セキュリティについて理解不足であることについて、実感がまだ十分残っているわけです。
そんな私が情報関連の資格取得を通じて学んだことの中から、「あまり知られていないけれど知っておくべきこと」をとりあえず3点、皆さんと共有したいと思います。
1番目が「添付ファイルのパスワードは別メールで送ります」という、よく見受けられるセキュリティ対策です。
それで本当に秘密が守れるのでしょうか?
例えば何らかの理由、メールの誤送信などで意図せぬ受取人にファイルを送ってしまった場合、添付ファイルの内容を知られないで済む、と主張される人はいらっしゃると思います。しかし、よく考えれば、パスワードを別メールで送る際に同じミスを犯す可能性も高いわけで、添付ファイルもパスワードも意図せぬ受取人に見られてしまいます。
「いや、そういう誤りもあるだろうけれど、それよりもむしろ、ブラックハッカー(悪意あるハッカー)にメールを盗み取られた場合に、添付ファイルを読まれないようにするためだよ。」という意見が聞こえてきそうですね。
では、そういう意見の方は、添付ファイル付きのメールを盗み取ることができるブラックハッカーが、別送されるパスワードを記載したメールを盗み取れない、と思われるのでしょうか?
特に、添付ファイルを送ってほとんど時間をおかずに同じメールシステムでパスワードを送ると、せっかくの対策は「ザル」だということになるでしょう。
しかし、現実にはそういう添付ファイルの送り方をしている事例が多く、私は時々それとなく指摘してはいますが、対策にはコストもかかるので、未だに事例は多く見受けられます。このような安全ではない送り方をPPAPと称しています。詳しくはネットで検索してみて下さい。
では、どうするか、ですが、パスワードを別の通信手段、電話で伝える、携帯電話などのSMSで送る、チャットで送る、など添付ファイルを送った手段と別の通信手段で送れば、両方が盗聴される可能性は相当なレベルでゼロに近づき安心できると思います。
私自身は、しばらく前までは、「パスワードは貴殿から頂いたお名刺に記載されているFAX番号(ハイフンあり)です。」などと書き、メール1本で盗聴リスクを下げる工夫をしていました。ただし、その場合、送信先宛名に受取人の所属・肩書などを書いてしまうと、パスワードがわかる恐れがありますので、メール文面には所属や肩書を書かないようにしていました。
しかし、受取人から「私の名刺は最近変わったので、FAX番号がわからず添付ファイルが開けない」と電話があった時には参ってしまいました。(笑)
では、JOPSはどうしているの?となりますと、結構コストはかかりますが、誤送信防止対策、添付ファイルのワンタイムパスワード発信機能などを搭載したメール送信用のソフトウェアを2年ほど前から使っています。しかし、このソフトの導入を決定する際には、私は少々迷いました。
(第2回に続きます)