デジタル庁よりパスワード付きZIPファイルの廃止ニュースより、自分なりに考えてみた。
メール添付ファイル送信時に、ファイルを暗号化し、本文メール送信後、後でパスワードを送る慣行的な作業について、添付ファイルは、zipパスワード付きも、そのまま送るも、違いはないという事らしい。
なんと衝撃的な、ニュース!(◎_◎;)。
確かに、みんな言われた通り、やっていた企業も多いはず。このような無駄なことは、やめましょうと言うニュースなのだ。
今現在、特に何もしなくても、メールの送受信は、TLS技術で通信は暗号化されていると言う。
TLSとは
TLS:トランスポートセキュリティ(Transport Layer Security) TLSという技術を使って暗号化 することで、配信中のメールが傍受されるのを防ぐことができ ます。 これは、受信と送信の両方のメール トラフィックでメール を暗号化して安全に配信するためのプロトコルです。メールサーバー間 の傍受を防ぎ、メール プロバイダ間を移動中のメールのプライバシーを 守ります。TLS は安全なメールの標準として採用されています。
となり標準的な暗号化で、安全に送受信している。
既に”TLS暗号化が標準”となっている今、そのまま送信したとしても一般的な文章についてはリスクは少ない。
問題は、送信者、受信者両方がTLSに対応しているかどうかだ。
全メール プロバイダが TLS に対応していないとの事だが、現在の普及率を見ると、、、
Googleの公開する⇒ 透明性レポートにおいて、メールにおけるTLS暗号化の普及率が、世界的には2014年の約30%から2020年には約90%に増加 となっている。
上記のように、 実際に私の最近のメールでも、暗号化されていないメールはほとんどないようで、唯一暗号化されていないメールを見つけたので紹介します。
Gmailより・・
【事例:暗号化なしメール】
暗号化されていない場合、上記のマークが表示される。赤のカギのマークが表示されるのでわかりやすい。
このメールは、地域住民用の通知なので、暗号化の必要性がないと言う判断なのかも。
【事例:暗号化ありメール】
上記の通り、TLS暗号化されている事が分かる。
今後のメール送信について
どうしたら良いか?
送信するメールの内容をパターン化する必要がありそうだ。例えば・・・
(分類:C)通常のビジネスメール
- 請求書、納品書、作業指示書、その他チェックリストなど
- そのまま送信、標準のTLS暗号化レベルで良いもの。
(分類:B)個人情報が含まれるメール
- 名簿、個人購入履歴など
- クラウドスペース経由での受け渡し。
※注意としては、クラウドサービス提供企業の選定は重要。機密データを契約企業のサーバに置くことのリスクを考える。業者選定については、継続性の問題を考えると、会社設立から30年以上の企業を選定したほうがリスクは少ないと思う。
(分類:A)超機密書類
- 特許仕様書、設計書など
- 送受信の専用システムが必要と思う。
企業毎に扱う商品が違うなどで、簡単に分類できないが、一般的な企業の場合は、標準のTLS暗号化(C)で充分であると思う。
-追伸-
今回、政府からのアナウンスで、パスワード付き添付ファイル の廃止は急速に進むものと思わる。
高度の暗号化を採用し実践している企業が偉い風潮があるので、少々心配な部分がある。
TLSで通信が暗号化しているにもかかわらず、無駄に、クラウド経由や、ファイル共有サービスへの登録の要請など、増えそうな気がする。通信の暗号化に加えて、メール本文の暗号化もしたほうが良いに決まっているが、何事にもバランスが大事と言いたい。更に煩雑になる事だけは勘弁してほしいものです。