やまもといちろう氏が Twitter その他SNSで言及されていたので、便乗してこの問題の紹介。
ツイートが消されていたので引用も削除しました。
「メールの添付ファイルにパスワードかけて、別メールでパスワードを送る」に言いたいこと
過去の記事で、この問題に対して、パスワードをどうやって伝えるかにフォーカスして取り上げました。以下がその記事です。
パスワードをなるべく安全に届ける方法
数日の時間が稼げるメリットってあるの?
数日間だけかせげれば問題ない情報なんてあるのでしょうか?
私が思いつくのは、会社の決算などの公開前の情報です。
公開後は秘密でも何でもないですが、公開前からはその重要性から秘密になっています。
こういった特定期間後秘密でなくなる情報なら、ブルーフォースアタックくらっても数日間稼げたらいいだろうという考えもできます。
しかし限られた状況ですので、数日の時間が稼げるメリットは考えないほうがいいです。
不要なリスクになってしまう可能性があります。
メールへのファイル添付も避けよう
しかし、そういった企業が、添付ファイルメールの後にパスワードメールを送っているなんて考えたくありません。
元記事にもあるように、別の経路(別のプロトコル)を使って、それぞれを送るべきです。
本来は、データの実体をメールで送るべきではありません。
元記事 の代案のようなオンラインストレージ使うとか、セキュアな郵送をするとか、直接持っていくとか検討すべきです。
可能な限り暗号化しないといけないようなファイルのメールへの添付は、やめましょう。
そんなこと言ったって…
でも、そんなこと言ったってオンラインストレージは禁止されているし、持っていくなんて現実的でないし、メールしか送る手段がないという方もいらっしゃると思います。
そんな方は、添付ファイルのパスワードを別メールで送る事の危険性を上司に啓蒙してもらうのと同時に、 パスワードを別経路にする事を検討してみてはいかがでしょうか?
どうするの?
筆者のOSS passend を使っていただいても結構ですし、
Line, TwitterのDM, Facebook Messenger, Skype などのツールにしてみたり、
電話で伝えるなんてのもいいと思います。