このブログを検索

2019年6月2日

電子メールの添付ファイルを暗号化されたZIPファイルにしてパスワードを直後のメールで送るという意味不明な仕様について






おはようございます。

2019年(令和元年)6月最初の、身の回りのガジェット他について、令和という新しい時代になっているのにどうしても手間だけ抜け切らないように感じるパソコンやサーバーの仕様について、かつて大銀行同士のシステム統合という壮大なプロジェクトに巻き込まれた経験のあるビルメン王(@shinya_ueda)が一言述べたいブログ配信記事第4弾です。

その前に、最近の読者より(古くからの知り合いからも)、そもそも「ビルメン王」って何ですか?と聞かれることが多いので再掲しておきます。

ビルメンとは、ビルメンテナンス業、すなわち建築物建物管理業務のことです。

そして、具体的には、エレベーターやエスカレーター、空調や電気設備といった建築物に附属する設備類の点検や管理を主に行いつつ、居住者であるテナントである事務所や商業施設、住居の主として土地建物共用部の設備運営管理を担うわけです。

当然、「警備」業務や「清掃」業務というものも、広義のビルメンテナンス業には入りますが、ここでは、警備は警備会社、清掃は清掃会社が行い、その上で、建物設備管理会社として、いわゆる「防災センター」といった詰所に常駐するビルメン会社のセンター職員やセンター長といった人々がやっている仕事、ということになります。

大型のビルになると、たくさんのテナントさんが入居していますので、日々の細々とした調整ややり取り、小さなトラブルなどが起こっているのを適切に捌いて解決に持っていく、快適な居住環境の維持発展のために、できるだけ気の利いた動きをとって顧客サービスに資する、そういった業務になりましょうか。

今筆者がやっているシェアオフィス業というものも、単なるスペース貸しではなくて、気の利いたスタッフの受付、心地よいコワーキングスペースの維持(清掃や会員同士の取り合いを含む)、Wifi完備、登記、オフラインメールサービス、顧客待合も取引先協力業者懇談も顧客向け会議も内部合宿も交流イベントもオールインでセットされる「事業共通フレーム」のいわば丸ごと提供というソフトサービスになっております。

こうした、いわば受付含む総務部門全体をまるごと請け負い本業を大きくドライブして前に進められるという、そうした身の回りサービスを、個々のサービスの合算からすれば破格の廉価で行うことができるというのが、筆者がやっている「The Company」というシェアオフィス/コワーキングブランドとなります。

これも、自転車の整備から清掃単価の交渉までビルメン業として行ってきた、この経験が大きく活きているのです。

さて、ビルメンについてはこれくらいにして、本日の本題に入ります。

電子メールの添付ファイルを暗号化したZIPファイルにして、パスワードを直後のメールで送るという、最近出てきたよくわからない中二階の二度手間システム仕様です。

どうやら、情報セキュリティ規程上、外部(同じ会社やグループと認定している別会社だが同一企業体、すなわち仲間と認定されている会社以外の会社や個人など)に対して添付ファイルを附して電子メールを送る際には、その添付ファイルが悪用されないように、暗号化した上で送らなければならない、というルールが新しく作られて、そして人力でそれをやり続けるのは忘れるリスクがあるので、システムの仕様上「外部」と認定された「拠点」へ電子メールが送られた際に、自動で、即時に暗号化ファイルZIPファイルにしてしまい、その上で、直後に、先方の不便にならないようにこちらも自動で、ZIPファイルを解凍するパスワードを送るという仕様にしてしまっているというわけです。

しかしながら、これこそ、「ためにする」議論の際たるものです。

暗号化しないと外に送ってはいけない、という情報セキュリティ規程の「規定」は、そもそも会社が内部で保有し管理すべき機密性の高い情報の「漏洩」を防ぐために行うものです。

ですので、この規程が本当に正しいのであれば、本来むやみに外部に添付ファイルを送ってはいけないという業務上の制限を行う必要があってしかるべきなのに、実際のビジネスの場では、外部にも、即時に同じ情報を共有して進めないと、仕事や事業が前に進まないことが多いのです。

すなわち、この場合、現場でのビジネスの適切な実施の観点と情報漏洩のリスクとを比較考量したうえで、「送ってはいけない情報」を限定するようにとりはからうべきであって、何でもかんでも、外部に出す添付ファイルは全て暗号化しているからOK、とうそぶいても何のセキュリティ向上にもなりませんし、ただメールを送られる側が迷惑するだけです。

なぜなら、直後に、解凍する方法が、自動で、送られるからです。

もちろん、外部メールの添付ファイルを暗号化して送らなければならない、という情報セキュリティ規程の「規定」は完全に守られます。

しかし、こんな冗長なだけの面倒なことを機械に完璧にやらせて、規程を守っているということにすることで、何か嬉しいのでしょうか。

意味のない(というか実効性や安全性に1ミリメートルも貢献しない)こうしたシステム仕様を生む、情報セキュリティ規程の定め方こそ問題なのです。

「規則通り外部メールの添付ファイルが暗号化されているか」ということを取り上げるのではなく、「本当にセキュリティリスクへの対策として適切であるか否か」という観点で情報セキュリティに関する規程や運営要領を作成し、より現場感覚のある人を本社のこうした情報部門に積極的に送り込んでいくべきだと思っています。

今回は筆者の経験も含めて少しばかり長くなりました。

それでは、気持ちを新たに、新時代令和においても意気軒昂なるビルメン王からは以上です。

(2019年6月2日 日曜日)

▷▷次の記事は

情報セキュリティの強化が叫ばれる中人的リスクが最も注目されている