やまもといちろう氏が Twitter その他SNSで言及されていたので、便乗してこの問題の紹介。
書き手の人が機微情報を扱ってないから数日時間が稼げるメリットを知らないだけかもしれないけど、内容としてはとてもまっとう http://t.co/1LsMsDjdYn
— やまもといちろう (@kirik) 2015, 8月 28https://twitter.com/kirik/status/637090147310374912
過去の記事で、この問題に対して、パスワードをどうやって伝えるかにフォーカスして取り上げました。以下がその記事です。
http://www.masoo.jp/blog/2015/06/10/passend.html (パスワードをなるべく安全に届ける方法)
(誤字と誤送信に対する文言をこの文章の記述日と同じ日に修正。差分は Githubを参照。)
やまともいちろう氏がつぶやきの中で「数日時間が稼げるメリット」とおっしゃられていますが、 数日間だけかせげれば問題ない情報なんてあるのでしょうか?
実はあります。
私が思いつくのは、会社の決算などの公開前の情報です。
公開後は秘密でも何でもないですが、公開前からはその重要性から秘密になっています。
こういった特定期間後秘密でなくなる情報なら、ブルーフォースアタックくらっても数日間稼げたらいいだろうという考えもできます。
しかし、そういった企業が、添付ファイルメールの後にパスワードメールを送っているなんて考えたくありません。
元記事にもあるように、別の経路(別のプロトコル)を使って、それぞれを送るべきです。
本来は、データの実体をメールで送るべきではありません。
元記事 の代案のようなオンラインストレージ使うとか、セキュアな郵送をするとか、直接持っていくとか検討すべきです。
可能な限り暗号化しないといけないようなファイルのメールへの添付は、やめましょう。
でも、そんなこと言ったってオンラインストレージは禁止されているし、持っていくなんて現実的でないし、メールしか送る手段がないという方もいらっしゃると思います。
そんな方は、添付ファイルのパスワードを別メールで送る事の危険性を上司に啓蒙してもらうのと同時に、 パスワードを別経路にする事を検討してみてはいかがでしょうか?
筆者のOSS passend を使っていただいても結構ですし、
Line, TwitterのDM, Facebook Messenger, Skype などのツールにしてみたり、
電話で伝えるなんてのもいいと思います。