~重要情報を送信する時は保護しましょう
投稿:舩生好幸(ISACA認定CISA、IPA登録 セキュリティプレゼンター)2024.10.21
〇重要情報は電子メール本文に書くのではなく、添付するファイルに書いてパスワードなどで保護していますか?
重要情報を電子メールで送る場合は、電子メールの本文に書き込まず、文書ファイルなどに記載してパスワードで保護した後、メールに添付します。
開封のためのパスワードはその電子メールには書き込まず、別の手段で通知するようにします。
〇対策例
・重要情報は文書ファイルに書いて強固なパスワードで保護する。パスワードはあらかじめ決めておくか、携帯電話のショートメッセージサービス(SMS)などの別手段で知らせる。
・組織間で重要情報の送受信を行う場合は、盗聴やなりすましを防ぎ、改ざんの検知ができるS/MIME※などの暗号技術を利用する。
(※S/MIME:Secure/Multipurpose Internet Mail Extensions。電子メールの盗聴及び改ざんを防止する技術。)
(本稿の記述は、IPA発行の以下の文書に基づき、筆者の意見も加えて構成しました。)
・「5分でできる!情報セキュリティ自社診断」Ver.5.4・設問No.8及び解説
(「5分でできる!情報セキュリティ自社診断」のダウンロードはこちらからどうぞ。)
〇メール添付以外の方法:オンラインストレージやクラウドサービスの利用も
非公開の情報や機微な情報の送受には、暗号化ファイルの電子メール添付以外にも、Dropbox、OneDrive、Googledrive など伝送経路が暗号化されるオンラインストレージやクラウドサービス等を利用する方法もあります。
受け取る側は、メール等で送られてくるURLをクリックすると、ファイルが登録されているページに誘導され、そこからファイルをダウンロードできます。
特に機密性の高い電子ファイルを送る場合は、暗号化したうえで上記のサービスにファイルアップロードし、開封パスワードは別の経路(携帯のSMSメールや口頭通話)などで送れば、ファイルと開封パスワードの連絡経路を分けて伝送できます。
オンラインストレージやクラウドサービスの利用は、いわゆる「PPAP問題」を考える際に、有効な対策の一つであると思います。
上記のサービスにはそれぞれ無料版もありますので、手軽に始めることもできます。
(ご参考ブログ)
(Primary-f/向実庵 代表)
<ご案内>
Primary-fでは、事業者様の「人と事業を守る」ため、中小企業庁及びIPAが推進する「できるところから始めて段階的にステップアップ」の取り組みに沿った情報セキュリティ関連サービスをご提供いたします。
詳しくはこちらよりお入りください。
Comentarios