暗号化ファイルのメール添付廃止の先にあるもの

プロジェクトオーガナイザの吉田聖書よしだみふみです。

2月15日に、会社としてのソフトバンクが社用メールにて暗号化された添付ファイルを使わないようにすると発表しました。

公式のニュースリリースはこちら。

当社におけるパスワード付き圧縮ファイルの利用廃止に関するお知らせ(2022/2/15 ソフトバンク株式会社)

先週に引き続きメールのセキュリティの話題です。
会社としてのソフトバンクが、2月15日にニュースリリースを出しまして、「従業員が業務で使用するメールアカウントにおけるパスワード付き圧縮ファイルの利用を廃止」すると発表しました。

具体的に実施する内容として、ニュースリリースには次のように書かれています。

当社従業員のメールアカウント宛てに、パスワード付き圧縮ファイルが添付されているメールを受信した場合、メール本文のテキストを除き、全ての添付ファイルが削除されます。
(上記でリンクしたニュースリリースより抜粋)

冒頭で「会社としての」という前置きを付けたのは「キャリアとしての」ソフトバンクではないということを強調するためです。もし「キャリアとしての」ソフトバンクが実施するのだったらすごい画期的なことだなと思ったのですが、残念ながらそうではなかったようです。

そもそもこれは何のための対策かというと、メールに暗号化されたファイルが添付されていた場合、添付ファイルに対してウイルスやマルウェアのチェックができないという問題があります。そして、添付ファイルを解凍して中のファイルを開くと、先週の記事で取り上げたEmotetなどのマルウェアに感染してしまうという事故が起こり得ます。なので、従業員のセキュリティ強化のために、暗号化ファイルが添付されたメールから添付ファイルを強制的に削除する措置を講じるということです。

ちなみに、ニュースリリースを読むと、受信したメールに対しての対策であって、送信するメールに対してはどうするかは書かれていませんでしたが、さすがに送信するメールからも削除するでしょう。そうでなかったら対策としては片手落ちです。

このような対策の発端となったのは、2020年11月に行われた当時の平井デジタル担当大臣の会見だったと思います。霞が関ではファイルを送信する際には暗号化してメールに添付することをやめるという方針を発表して話題になりました。そこにPマークを認証している一般財団法人日本情報経済社会推進協会(通称JIPDEC)から「パスワード付きファイルのメール送信は以前から推奨していない」という表明がありました。当時それを記事にしています。

メールでのファイル送信の潮目~暗号化ZIP廃止へ~

そういう騒ぎがあった直後に、実際に同じような対策を取った企業についてのニュースを見かけましたが、それ以来今現在に至るまで、思ったほど浸透していないなと感じていました。そこに今回のニュースリリースです。もしかしたら準備に時間がかかっていて、ようやくそれを実行できる段階になったということなのかもしれません。


※ この記事は、先日公開した以下の音声コンテンツを基に編集したものです。


どうして添付ファイルを暗号化して、パスワードを平文で送るということがまかり通っていたのかは今でも不思議です。酷い場合は、暗号化されていない添付ファイルを検知すると勝手に暗号化してしまうメールサービスを使用していた会社もありまして、そういうメールサービスの存在そのものが、セキュリティ意識の問題点を示していると思います。

ちなみにその手のメールサービスは、予め暗号化してあればそのまま送信されますので、添付ファイルが暗号化されているかどうかをちゃんと見ていたということです。それができるのであれば、これからのメールサービスとしては、添付ファイルが暗号化されていたらブロックする機能だけではなく、暗号化されていないファイルが添付されたメールを送信したら、そのメールから添付ファイルをはぎ取り、専用のストレージサービスに格納して、メールの受信者にはそのストレージにWebブラウザでアクセスしてもらうという機能が実現できます。既にそのような機能を備えたメールサービスも存在します。

ただ、いくら添付ファイルを暗号化したとしても、本文を暗号化しなければ機密情報は筒抜けです。それは添付ファイルをはぎ取っても同じことです。逆にメールそのものを暗号化すれば、わざわざ添付ファイルを暗号化する必要もありません。実現すべきなのは添付ファイルをどうにかすることではなくて、電子証明書を活用したメールの署名と暗号化を、メールの利用者がストレスなく実施できるようなソリューションなのではないでしょうか。

そして、今やWebブラウザも暗号化されていない通信をブロックするような時代です。今回のように「暗号化された添付ファイルを強制的に削除する」ということが通用するのであれば、次のステップとしては「電子署名と暗号化がされていないメールはブロックする」という対応が普通になる世界を期待します。



関連記事

プロマネの右腕

クロスイデアでは、新サービス・新ビジネスの 立上げや計画を中心に
プロジェクトマネジメントの支援を行っています。

新サービスの企画を任されたけど どう進めていいか悩んでいる担当者、
部下に新しい企画を任せたけど このままで大丈夫か不安な管理職の方、
以下のサイトをご参照ください。
https://www.crossidea.co.jp/services/right-hand-pmo.html

YouTubeにて動画配信中!

プロジェクトマネジメントのノウハウを
YouTubeで配信しています。
ブログと併せてご活用ください。

Comments are closed.