第28回 「続けてパスワード送付」欧米でまったく使われないワケ:テクノロジーエバンジェリスト 小川大地の「ここが変だよ!? 日本のITインフラ」(1/2 ページ)
「解凍パスワードは別メールで送ります」ってことありますよね。実はこれ、日本のみのガラパゴスルールなのだそうです。欧米ではどんな考え方で、どのように対策しているのでしょう。
「添付ファイルがパスワードロックされたメール」とそれに続けてやって来る「パスワードだけ書かれたメール」。
多くの日本企業で当たり前のように採用されているメールセキュリティのガイドラインですが、前回取り上げた通り、これらは完全に日本だけのガラパゴスなルール/システムです。
なぜ日本だけの独自文化なのか、また欧米はどのように対応しているのかを確認しましょう。
日本独自のガラパゴスルールが広がったワケ
まずは、日本でこのようなガラパゴスルールが当たり前になってしまった背景から。実際に情シス担当者の方に導入理由を聞くと、おおむね次のような答えが返ってきます。
「情報漏えい事件の防止や、起きてしまった場合のリスクヘッジである」
まず挙がるのがこちらです。この手のシステムの検討にあたり、稟議書の最初に書かれるであろう理由でもあります。
未然に防げれば何よりですし、「万一、誤送信してしまっても、暗号化されていれば大事には至らない」。私は詳しくありませんが、訴訟対策にもなると聞いたこともあります。
「情報セキュリティの資格認定に必要だから」
日本独自の認定制度である「プライバシーマーク(Pマーク)」では、2010年の書類審査改定で、添付ファイルの扱いが具体的に指示されるようになったそうです。
また、国際基準であるISMS(情報セキュリティマネジメントシステム、ISO/IEC 27001)では、具体的ではないながらも情報保護が指示されているため、SIベンダーにとっては対策を講じる必要があります。
「既存システムはそのままで対応できるから」
前回紹介したような対策製品やサービスの多くは、既存のメールシステムに手を加えずに後付けで導入できるようになっています。これは、運用はできるが再構築や再設計は難しい日本のエンドユーザーのニーズにピッタリです。
ほかにもいくつかありますが、これだけでもう十分でしょう。
特に、2つ目の「プライバシーマーク」や「ISMS」は、日本のSIベンダーが取得奨励されている認定資格です。実際のところは、認定を受けていないと入札資格を得られない案件もあり、企業として必須資格となっています。また、これはIT企業だけではありません。言わずもがな、インターネットを利用したビジネスが当たり前な現在、情報セキュリティ対策は業種に関係なく重要です。
そして、これらの施策を“確実に遂行”できる製品・サービスは、既存システムに手を加えることなく“後付け”で導入できる――。
「ファイルは暗号化して、パスワードは別メールで」は、“なぜ?”というより“必至”だったように思えます。
関連記事
- テクノロジーエバンジェリスト 小川大地の「ここが変だよ!? 日本のITインフラ」 バックナンバーはこちら
- 第18回 日本は、なぜ「電圧100ボルト」なの?
日本の商用電源電圧は主に100ボルト。これほど低い電圧の国は世界的にほとんどなく、採用するのは日本と北朝鮮くらいだそうです。……こちら、ITインフラ界隈ではどんな影響があるかご存じですか? - 第16回 「○×表」を鵜呑みにしすぎ
ITシステム選定には「○×表/機能比較表」を用いますね。しかし、日本のエンドユーザーはそれを鵜呑みにしすぎです。むしろ操られてしまっていると感じることさえあります……。 - 第8回 その依頼、「少し雑」ですよ
日本の担当者は「丸投げ」?── すべてを委ねられるSIベンダーが多く、日本特有のSI構造である事情はあるが、ともあれ欧米企業との大きな違いはどこにあるのか。その経緯と理由、対策を考えてみる。 - 第3回 「ライブマイグレーション申請書」って何デスカ?
サーバ仮想化の技術「ライブマイグレーション」を活用する──。ある日本企業は「ライブマイグレーションの実施に、申請書を書いてハンコを回す」が必要で、またある企業は「物理サーバ1台に、仮想マシン台数分の資産シールを張る」のだという……?
Copyright © ITmedia, Inc. All Rights Reserved.