霞が関でパスワード付き添付ファイルが廃止へ
ついに、悪評が高かった「パスワード付きZIPファイル」が霞が関では廃止と決定された。
これは、ITmedia News 2020年11月18日で発信されたもので、「デジタル改革アイデアボックス」の意見を採用したとのこと。
PPAPとも揶揄される「パスワード付きZIPファイル」は、文書データをメールに添付する際、zipファイルに加工して暗号化し、そのパスワードを別メールで同じ相手に送信していた。元々は、メールの誤送信や経路での盗聴リスクの対策として、文書を暗号化したが、
その後で、同じシステムを使ってパスワードを送信することで、セキュリティ対策として役に立たたなくしていた。つまり、手間だけかかる無用の長物だったのです。
一番驚くべきことは、これが、現在まで、霞が関だけでなく、民間でも広く行われていた。
それで、ISO27001(ISMS)やPマークも認証されてきたことです。
何故このようなものが継続的に使用されてきたのか
PPAPが有効でないことは、セキュリティを少し勉強すれば、誰でもわかることです。
このように簡単なことが、何故継続的に行われてきたかということについて考えてみました。たいがいの組織では、以下のような状況が起きているのではないでしょうか。
ISMSやPマークの認証を取るという手段が目的化し、それにゆでガエルのように安穏としているのが組織の実態というところではないですか。
組織に多くみられる手段の目的化と過度の他者への依存、自己責任回避、そこに問題があるように思えてなりません。
■セキュリティ事務局
・他の代替手段を準備するのが邪魔くさい。
・他社もまだやっている。赤信号だが、皆が渡っているからいいのでは。
・事を荒げてISMSやPマークの認定が外れては大変だ。
■ユーザー部門
・おかしいとは思うが、セキュリティ事務局の指示だから従います。
・責任は、セキュリティ事務局がとるにでしょう。
■経営層
・そこまで、我々の口出しすることではないな。
・全てはセキュリティ事務局に任せているから上申してきたら考えよう。
共有ストレージの利用で解決するか。
対策として最近よく目にするのは、クラウド等でストレージを共有し、URLでデータを引き渡す方法です。情報セキュリティ上は一見よさそうです。しかし、文書管理という観点から見ると問題が大ありです。
■送信側
送信メールに文書のURLはあるものの、共有ストレージ内の文書が変更されたり、削除された場合には、引き渡した証拠としては不十分である。
■受信側
・データを読み取った後、変更されたり、削除されることがあり、データの引き渡しを受けた証拠には不十分である。
つまり、これまで、メールのやりとりを保存し、何かあった時は、調査に使っていましたが、無力化されるリスクがあるのです。
基本的な対策は、証拠として残しておく必要のあるものであれば、
送信側は、改ざん・削除をうけない状態で文書ファイルを保存する必要があります。
受信側は、読み取った文書ファイルを自社で改ざん・削除をうけない状態で保存する必要があります。
経営者の皆さん、これを期に、情報セキュリティ偏重の考え方から文書管理も含めたバランスの良い考え方をしてはどうでしょうか。
文書戦士
↓ 参考になりましたら、クリックお願いします。
