第2回 メールの適正利用をチェックできますか？：会社を強くする経営者のためのセキュリティ講座（2/2 ページ）

[萩原栄幸，ITmedia]

電子メールの暗号化

　情報を第三者に盗み見をされないために、電子メールや添付ファイルの暗号化も盛んに行われている対策です。電子メールの暗号化は、大きく2種類に分けることができます。1つは電子メールを受け取る人が誰であるか分かっている場合、もう1つは受け取るのが不特定多数の人間もしくは不明な場合です。

　前者なら、暗号化された状態を元に戻すソフトウェアを事前に相手に渡すことができます。比較的クローズな相手とのやりとりでソフトウェアが使われています。後者の場合は、相手が見えないので基本的にこの種のソフトウェアを配布できないという制約が生じます。

　一般的な企業では、用途に応じて異なるソフトウェアを使い分けています。しかし、不特定多数の相手である場合に対応したソフトウェアなら、クローズな相手とのやりとりにも利用できる場合があります。機能も単純で安価です。それぞれの場合に対応するソフトウェアには長所短所がありますので、どちらが優れていると一概には言えません。不特定多数が相手である場合のソフトウェアの方が、管理が容易ではあるようです。

　やや技術的な話になりましたが、暗号化していない電子メールによって情報漏えいが起きれば、経営責任を追及される場合があることを理解しておきましょう。対策に「余計な金が掛かる」と愚痴らず、保険的な意味合いからも、ぜひ導入を検討すべきでしょう。

添付ファイルの暗号化

　電子メールの暗号化と混同されがちなのが、添付ファイルの暗号化です。電子メール本文の暗号化はあまり普及していませんが、添付ファイルの暗号化は「パスワード付ファイル」という広義の意味での暗号化（入手しても読めないということ）として、大部分の企業で既に実施されています。

　しかし、この手段は安心できるものではありません。特に添付ファイルを圧縮（ZIPファイル形式）する際にパスワードを付与して、そのパスワードを別の電子メールや電話などで相手に連絡している場合は要注意です。米国では、ある犯罪組織がパスワード付きのZIPファイルに限定して盗聴を行っているということが報告されています。添付ファイルがあり、それがわざわざ圧縮され、しかもパスワードで保護されているのは、多分に「価値のある情報です」と言っているようなものです。しかも、ZIPのパスワードを解析する方法がインターネット上に出回っています。

　このような運用している会社では、短期的な施策と長期的な施策の両面から、早めに改善していくべきでしょう。

---

　ここに述べたものには、それぞれ技術的な解決方法が用意されています。しかし、経営者としてはそれだけではなく、啓蒙や教育といったメンタル面での対策も考えていくべきです。「こんなことをしても収益にならない」といって、費用を倹約しているようでは、痛い目に遭うかもしれません。セキュリティ対策で日々奔走している現場の管理者のためにも、ぜひ取り組んでいただきたいと思います。

　最後に、電子メールで大きなトラブルになりがちなミスが、「BCCで送信したはずなのにCCになっていた」というものです。システムやルールでミスを補えるようにすることも重要ですが、そのような事態を起こさないために、電子メールの書き方、送り方についての基本を従業員に教えることが大切です。先輩の間違った方法をまねしている若い世代が増えているのも事実なのです。

萩原栄幸

一般社団法人「情報セキュリティ相談センター」事務局長、社団法人コンピュータソフトウェア著作権協会技術顧問、ネット情報セキュリティ研究会相談役、CFE 公認不正検査士。旧通産省の情報処理技術者試験の最難関である「特種」に最年少（当時）で合格した実績も持つ。

情報セキュリティに関する講演や執筆を精力的にこなし、一般企業へも顧問やコンサルタント（システムエンジニアおよび情報セキュリティ一般など多岐に渡る実践的指導で有名）として活躍中。「個人情報はこうして盗まれる」（KK ベストセラーズ）や「デジタル・フォレンジック辞典」（日科技連出版）など著書多数。

過去の連載記事一覧はこちらから

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら