添付メール「ZIP暗号化とパスワード別送」はムダなのか

　セキュリティ業界で長らく議論されてきた「ムダ」な作業のひとつが、「暗号化ZIPメール問題」である。この問題を「ある書類をメールで送る場合」を例に挙げて説明しよう。


　こうしたやりとりは、誰しも経験していると思う。企業によってはメール送受信にあたってのルールが明文化され、業務規程としてこのような運用を続けているところもあるだろう。最近では、こうしたメールを自動的に生成、送信してくれるメールサービスも存在する。

「ZIPファイルの暗号化」と「パスワードの別送」本当に安全？

　ビジネスルール、あるいはマナーのように浸透している「ZIPファイルの暗号化」と「パスワードの別送」だが、正直なところ面倒だと思っている人もいるのではないだろうか。

　そもそも、暗号化されたZIPファイルを開けるためのパスワードを別メールで送るのには2つの目的がある。1つは「メールの盗聴対策」であり、もう1つが「メールの誤送信対策」だ。

　個人情報や機密ファイルを暗号化するのはいいとして、そのパスワードを同じメールに記載するのは、通帳と印鑑を同じ引き出しに保管しているようなものである。盗聴者は暗号ファイルと鍵をひとつのメールで同時に入手できてしまう。誤送信の場合も、間違った相手がファイルを解読してしまう可能性がある。パスワードを分けて送れば安全性は高まるはずだ。

　しかし、これだけでは十分にセキュリティ対策がなされているとは言えない。もし盗聴されているなら、同じ方法（回線、プロトコル）で送るパスワードメールも同じように盗み見られている可能性は高いためだ。誤送信も「全員に返信」コマンドやメールサービスやメールアプライアンスの機能を利用したら、パスワードメールも同じ相手に誤送信することになってもおかしくない。つまりパスワードの別送は、添付ファイルとの同時にパスワードを送るのと比較してどれほど安全性が向上するのか、効果が分かりずらいのである。

「暗号化ZIPメールをやめたい」が企業のホンネ？

　多くの企業や組織が（一部はルール化をしてまで）採用しているZIPファイルの暗号化とパスワードメールの別送だが、様式を重視する日本企業においては、「なんとなく安全に配慮している気になるから」という理由で利用しているだけではないだろうか。

　多数はそう感じていながら、いちどルール化されたりマナーとして定着すると、なかなか理論で覆すのは難しい。「ZIPファイルの暗号化はあまり意味がないので普通のZIPファイルで送ります」などとしようものなら「弊社の規則ですので」とお叱りを受けてしまう。相手が得意先であれば従わざるを得ない。

　日本の生産性の低さが問題だと騒ぎながら、このようなムダ（とあえていうが）がはびこる状況にフラストレーションを感じるビジネスパーソンは少なくないだろう。

【次ページ】暗号化ZIPメールの代替手段、本命は？