その他

パスワードの別送には、本当に意味がないのか?

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

業務上での情報のやり取りにメールを使わない企業は、今やほとんどないでしょう。『メールは使えません』『危ないから使いません』といった企業であれば、逆に取引先から総スカン、なんてことも考えられます。

メールでのやり取りの際に非常に便利なのがファイルの添付。セキュリティの問題を鑑みてパスワード保護をしてファイルを送付、ということも一般的になってきました。そのときに良くあるのが、『パスワードは別のメールで送ります』として別送するパターン。PCに詳しい人ほど、「この方法って、本当にセキュリティ的に意味があるの?」とたびたび話題に上ります。

例えば、下記の記事。

10の疑問を試して解明 セキュリティ大実験室:パスワードの別送に意味はある?(ITpro Active)
2016051301-02

一見安全そうに思えるが、このやり方に疑問を持つ人は少なくないだろう。ファイルを添付したメールを盗聴できる攻撃者は、パスワードが記載されたメールも盗聴できそうだからだ。ネットワークを盗聴できる攻撃者なら、暗号化ファイルを簡単に復元できるだろうか。実際に確かめた。

記事の具体的な内容は技術的な話なので横においておくとして、結論としては、

以上のように、メールのパケットが流れるネットワークにアクセスできる攻撃者なら、無料のソフトでも暗号化ファイルとパスワードの両方を入手できる。ネットワークに流れるパケットが大量でも、IPアドレスなどでフィルターできるので、パスワードを含むメールを見つけるのはさほど難しくない。万全の盗聴防止策ではないと理解したうえで、パスワードの別送を運用すべきだろう。

ということで、別送しても、ファイルもパスワードも簡単に入手できますよ、とのこと。もちろん『意味がない』とまでは断言していませんが、これを読んだだけだと「やらなくてもいいのかな」と思ってしまいそうです。

ですが、本当に意味がないのでしょうか?

パスワードの別送の目的は『盗聴防止』ではない

セキュリティ対策、というと、何とか情報を入手してやろうという第三者からの攻撃から身を守る、といった視点で考えがちです。ネット上では、あらゆる情報が常に攻撃にさらされていると言っても良い状況ですから、その意識は間違っていません。ただ、そういった視点だけで考えてしまうと、大きな落とし穴にはまってしまいかねません。

例えば、下記の記事でも書かれているように、“情報漏えい”の一番の原因は『人的ミス』といわれています。

情報漏洩の原因を徹底解析!原因と結果から学ぶ意識改革(Norton Blog)
2016051301-03

この記事の中のグラフでは、不正アクセスによるものは5%だけ。実に8割以上が人的ミスを原因としています。つまり、この人的ミスをいかに無くすかが、セキュリティ対策で最も重要な視点となります。

そして今回の主題であるパスワードの別送は、実はこの『人的ミス』のための対策なのです。

メールを送信・・・。あっ、送信先を間違えた!

こういった送信先を間違えるミスをしたことがある方、結構多いのではないでしょうか。「待った待った!今の送信キャンセル!」といくら叫んでみても、無情にもメールは送信されてしまいます。

そんなとき、メールに添付したファイルにパスワードが掛けられており、そのパスワードは別に送るようにしていれば・・・。致命的なミスとはならず、間違えて送信してしまった先へ「お手数ですが削除してください」と粛々とお願いすれば大きな問題にはなりません。

パスワード別送の本当の意味は、この『メールの送信ミス』を致命的なものにしないための対策なのです。

そういう意味では、システムに仕組みとして『パスワードの別送』が組み込まれているものは、あまり意味がないかもしれません(送信ミス、と気づいたときにはどちらのメールも送信されてしまっていると考えられるので)。

何のための対策なのか、ちゃんと理解しましょう

セキュリティ対策だけでなく、世の中には「何でこんなことをしているんだろう?」といった習慣や風習が色々あります。もちろん中には全く意味のないものも多々ありますが、一つ一つは何かきっかけになることがあり、それを解消するため、あるいはそれへの対策のため、など何らかの意図があって始まったものも多くあるはずです。

自分の常識だけに囚われてしまっていると、全く別の視点で見たときに非常に有効な意図があるにも関わらず、意味のないものとしてしまいがちです。特に先人の知恵には、学ぶべきポイントが非常に多くありますから、「なぜ?」と思ったときにはまずその成り立ちなどを調べてみる、という癖をつけておいた方が良さそうです。特に今は“インターネット”という有効な武器がありますから、調べるのも造作ないはずです(もっとも、今回のように「意味がない」と断じている記事などもたくさん出てくるでしょうけれども)。

「なぜ?」と思ったときには、まずは「何か意味があるはずだ」という視点から調べてみることをお勧めします。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る