そのセキュリティ対策に意味はありますか？【メール添付】

よく見かけるデータ受け渡しのセキュリティ対策に、こんなものがあります。
　
　「本メールの添付ファイルをご確認ください。
　　開封パスワードは別メールで送ります。」

こんな文章を付けて、メールの添付ファイルでデータを送る。
そして次のメールで開封パスワードを送る。
今でも多くの企業で使用しているセキュリティ対策の一つでしょう。

しかし、この対策、技術的なセキュリティ対策としては
「ほとんど意味が無い」のです。

　
メールとは、
　１．PCから自社メールサーバにデータを送る。
　２．自社メールサーバからインターネットを経由して
　　　相手メールサーバに転送する。
　３．相手メールサーバからＰＣで閲覧する。
こういう流れでデータが送られます。


この経路を通して、一般には添付ファイルも送られます。
そして、開封パスワードを書いた、もう一通のメールも
同じ経路で送られているのです。


さて、視点を変えて攻撃者の目で見てみます。
添付ファイルを奪おうとしたら、どこで奪いますか？


ＰＣやメールサーバ、インターネット上の経路で、
バレないようにこっそりコピーしようとしますよね。

だとしたら、パスワード付きファイルもその開封パスワードも、
同じ経路を使っているのですから、
一度の侵入で、どちらも奪えるということなのです。


これは、譬えて言えば、
　　重要書類を入れたアタッシュケースに鍵をかけた。
　　でも、その鍵をアタッシュケースに紐でくくりつけている。
ようなものなのです。

アタッシュケースに触れる人なら誰でも開けられてしまいます。

パスワード付き添付ファイルでデータを送付し、
開封パスワードを別メールに書き込む、というのは、
技術的な情報セキュリティ対策としては何の意味もないのです。


【有効な対策にするには】
　もし、あなたの所属する組織が、この対策を選んでいるのなら、
ちょっと工夫して有効な対策に変えましょう。

１． パスワードを相手に渡す方法を変える

　　メールでパスワードを送るのを止めましょう。
　　　・予め使うパスワードを決めておく
　　　・郵便でパスワードを送る
　　　・ＦＡＸでパスワードを送る
　　等、ファイルと違う経路でパスワードを渡しましょう。

　　
２． パスワードの強度に注意する

　　2018年6月現在、公的に推奨されているパスワードは
　　英数大小記号入りで　【１０桁】　です。
　　それ以下だと１日も掛からず解析できてしまいます。


この二つを守れば、パスワード添付ファイルでも
現状であれば、安全に送付していると主張することができます。


　　　　　　　　　　　　中小企業の情報セキュリティ対策を支援する
　　　　　　　　　　　　　　　　　　　オフィスＩＳＭＣ　星野靖裕
　　　　　　　　　　　　　　　　　　　　　　　　https://ismc.biz/