資料の送付にメールを利用することは多い。「万が一“盗み見”されたらどうしよう」「暗号化でもすればいいじゃないか?」「でもPGPやS/MIMEは使えないし……」。
大手総合商社・メデア商事の新人・小林ケンタはPCを前にして、何かに悩んでいる様子だ。そこに営業3課の先輩・高柳ワタルがやってきた。
高柳 小林、何、悩んでんだ?
小林 お客様に送る資料なんですけど、そのままメールに添付するのは、万が一“盗み見”されたらどうしようと思って……。
高柳 じゃあ、暗号化でもすればいいじゃないか?
小林 はい……。それで先日、教えてもらったPGPとかS/MIMEとか使ってみようかと思ったんですけど、ウチのシステムのマニュアルにはそういったことが全然書かれていなくて……。
高柳 おいおい。PGPとかS/MIMEとかの場合は、相手側にも何らかの用意が必要だ。そんなものでいきなり送りつけるなんて失礼じゃないか?
小林 あっ、それはそうですね(苦笑)。
PGPやS/MIMEは暗号化の手法として標準的なものだが、利用に当たっては、送信する側だけでなく受信する(復号する)側にも、それなりの準備が必要である。対応しているメールクライアントを使用しているか否かだけでなく、そもそも PGP や S/MIME で暗号化されたメールを復号できるようにメールソフトを設定しているかなど、送付先の事情を事前に確認することなしに闇雲に暗号化メールを送りつけるのは“失礼”なことになりかねない。
高柳 そもそもPGPやS/MIMEを使わなくちゃならないほどの機密情報なのか?
小林 提案書の参考資料なんですけど……。
高柳 他社さんの導入事例とかの機密情報は含まれてるのか?
小林 いいえ……。
高柳 であれば、ZIP圧縮したファイルにパスワードをかけて、そのパスワードを別のメールか電話で伝える――ぐらいで充分だと思うけどな。それに、公開済みの製品仕様だとかパンフレットの類なら平文でいいし。
小林 なるほど!
高柳 どういうデータをどういう方法で送付するかということについては、ある程度セキュリティポリシーにも書かれているんだけど、それは読まなかったのか?
小林 読んだんですけど、具体的じゃなかったのでよく分からなくて……。
高柳 ま、確かにちょっと分かりづらいかもな……。じゃあ、俺が使っているメモを見せてやるよ。
高柳は自分の席に戻ると、何か表のようなものを印刷し、小林のところに持ってきた。
高柳 俺が頻繁に扱うデータに限られてるけど、このメモに従ってデータの送付方法を決めてる。
高柳のメモに書かれていた表は次のような内容だった。
データの内容 | 送付方法 |
---|---|
他社の導入事例 | メール不可 |
未公開の製品仕様 | 紙に印刷したものに「取り扱い注意」のスタンプを押し、手渡し。回覧後回収 |
提案書 | メール不可。紙に印刷して手渡し |
納品資料 | パスワードZIPでメール、またはCD-R(パスワードなし)で手渡し |
製品仕様書(公開済)、パンフレット | 平文メールまたは郵送 |
見積書、請求書(案) | パスワードZIPでメール |
見積書、請求書(原本) | 郵送または手渡し |
高柳 機密性も大事だが、例えば、提案書の類は営業マンとして、客先に足を運んで直接手渡した方がお客様からの印象が良くなる場合もあるだろ? そういったことも鑑みて、どういう方法で送付するのが適切か考えたほうがいいと思うぞ。
セキュリティ関連の話題を中心に執筆中のフリーライター。翻訳(英語、韓国語)やプログラミング、システム構築等コンサルなど活動は多岐に渡る。JPCERT/CC専門委員。Webサイトはこちら。
Copyright © ITmedia, Inc. All Rights Reserved.