「解凍パスワードは別メールで送ります」ってことありますよね。実はこれ、日本のみのガラパゴスルールなのだそうです。欧米ではどんな考え方で、どのように対策しているのでしょう。
この記事は会員限定です。会員登録すると全てご覧いただけます。
「添付ファイルがパスワードロックされたメール」とそれに続けてやって来る「パスワードだけ書かれたメール」。
多くの日本企業で当たり前のように採用されているメールセキュリティのガイドラインですが、前回取り上げた通り、これらは完全に日本だけのガラパゴスなルール/システムです。
なぜ日本だけの独自文化なのか、また欧米はどのように対応しているのかを確認しましょう。
まずは、日本でこのようなガラパゴスルールが当たり前になってしまった背景から。実際に情シス担当者の方に導入理由を聞くと、おおむね次のような答えが返ってきます。
まず挙がるのがこちらです。この手のシステムの検討にあたり、稟議書の最初に書かれるであろう理由でもあります。
未然に防げれば何よりですし、「万一、誤送信してしまっても、暗号化されていれば大事には至らない」。私は詳しくありませんが、訴訟対策にもなると聞いたこともあります。
日本独自の認定制度である「プライバシーマーク(Pマーク)」では、2010年の書類審査改定で、添付ファイルの扱いが具体的に指示されるようになったそうです。
また、国際基準であるISMS(情報セキュリティマネジメントシステム、ISO/IEC 27001)では、具体的ではないながらも情報保護が指示されているため、SIベンダーにとっては対策を講じる必要があります。
前回紹介したような対策製品やサービスの多くは、既存のメールシステムに手を加えずに後付けで導入できるようになっています。これは、運用はできるが再構築や再設計は難しい日本のエンドユーザーのニーズにピッタリです。
ほかにもいくつかありますが、これだけでもう十分でしょう。
特に、2つ目の「プライバシーマーク」や「ISMS」は、日本のSIベンダーが取得奨励されている認定資格です。実際のところは、認定を受けていないと入札資格を得られない案件もあり、企業として必須資格となっています。また、これはIT企業だけではありません。言わずもがな、インターネットを利用したビジネスが当たり前な現在、情報セキュリティ対策は業種に関係なく重要です。
そして、これらの施策を“確実に遂行”できる製品・サービスは、既存システムに手を加えることなく“後付け”で導入できる――。
「ファイルは暗号化して、パスワードは別メールで」は、“なぜ?”というより“必至”だったように思えます。
Copyright © ITmedia, Inc. All Rights Reserved.