たぶん、連載として続けると思うよ。これから、変だなと思ったセキュリティの常識を書いていく。

【第一弾】添付メールを暗号化して、パスワードを別メールで送信って意味あるのか？

結論から言うと、セキュリティに気を使っているように見せるパフォーマンスとしては意味はあるが、本当の秘匿性の確保はできない。

そもそもメールというのは途中で見ることもできるし、間違えて他人に送る可能性が完全に止められないから、メールで重要な情報を伝えること自体が難しいのだ。

パターン１

ZIP圧縮時に添付ファイルにパスワードをかけて、別メールでパスワードを送る

○：パスワードを送るときにToを再度確認できる。IT素人に対してセキュリティに気を使っていると思わせることができる。

×：通信を監視し、FromとToでフィルタをかければ盗聴は簡単。添付ファイルのウィルスチェックがかからなくなる。

パターン２

添付ファイルを暗号化し、別経路でパスワードを送る（オフラインで伝える、電話で送る、携帯メールで送る等）

○：盗聴されたとしても、添付ファイルの機密性は守られる。

×：とにかく面倒くさい。添付ファイルのウィルスチェックがかからなくなる。

パターン３

添付ファイルをクラウドに置きそのURLを送信、また別メールでパスワードを来る

○：添付ファイルをいつでも削除できる、誰がDLしたかトレースできる

×：通信を監視し、FromとToでフィルタをかければ盗聴は簡単

パターン４
S/MIMEで暗号化する

○：エンドtoエンドで暗号化されるので秘匿性を高められる

×：相手もS/MIMEに対応していないといけない。メールタイトルやTo/Fromは暗号化されない。添付ファイルのウィルスチェックがかからなくなる。面倒臭い。

パターン５
Webメールを使う、相手にもWebメールを使わせる

○：エンドtoエンドで暗号化されるので秘匿性を高められる。利便性が高い。

×：相手もWebメールを使わせないと相手先で盗聴されてしまう。誤送信したときにリカバれない。

パターン６
何もしない

○：利便性が高い。添付ファイルのウィルスチェックが実行される。

×：IT素人にセキュリティに気を使っていないと思われる
→これは「サイバーノーガード戦法」の１つかな。

こうやって、まとめてみると、パターン２とパターン３の組み合わせが良さそうだな。

つまり、「添付ファイルはクラウドに置いて、パスワードは別経路で伝える」という方法。

やっぱ、整理のために、まとめてみるもんだね。

たとえば、こんなサービスがあったらどうだろう。

１）取引先１人に対して、２つ以上のメールアドレスを登録する

２）Webメールで取引先にメールを書き、ファイルを添付する

３）メール本文はメインのメールアドレスに送られる。添付ファイルのパスワードはサブのメールアドレスに送られる。しかも、自動で。

４）受信者は、メインとサブのメールを開き、添付ファイルのパスワードを解除する

でも、これだと受信者は面倒くさいな。やっぱ。一週間前のメールを見るときに、２つのメーラーを立ち上げないといけない。結局、サブのメールは、メインのメールに自動転送しちゃって意味なくなる。

やはり、重要なことはメール以外の方法で伝えないといけないね。