21世紀の人類がZIPのパスワードを直後のメールで送るのは、なぜデスか？：こうしす！ こちら京姫鉄道 広報部システム課 ＠IT支線（11） - ＠IT

井二かけるの追い解説 今回の漫画のテーマは、ITエンジニアの間でしばしば批判される「後続メールでのパスワード別送」です。 ここでいう「後続メールでのパスワード別送」とは、メールで添付ファイルを送付する際、添付ファイルをパスワード付きzipとし、後続メールでパスワードを送付するという方式です。 現在、情報セキュリティ対策の一環として、「後続メールでのパスワード別送」を採用する企業が数多く存在します。漫画のようにパスワード別送をシステムで自動化している企業も少なくありません。 では「後続メールでのパスワード別送」は何が問題なのでしょうか。代表的な2つの点を挙げます。 1.後続メールでパスワードを別送しても、セキュリティはほぼ向上しない 電子メールはその仕組み上、基本的に相手に届くまでに複数のサーバを経由します。メール送信にTLS/SSLを用いても、暗号化が保証されるのは自分が使用しているメール

[lejay4405]

とりあえず暗号付きにしてますポーズでしょこれ。みんな馬鹿らしいと思ってるよね

[mtane0412]

これ意味ないことを指摘すると代案出せってキレてくる人いるけど代案も何もセキュアでない送信方法を主体的に選択しているのでそのまま送ればいいのではと思う

[amemiyashiro]

21世紀になってなお、「パスワード付きの自己圧縮形式(.exe)をパスワード後送で送る」という運用してるところもあってな。なお相手方のセキュリティでウィルス判定されないよう.ex_に拡張子を変えてくるという。

[dazz_2001]

「代わりの代替案」が「頭痛が痛い」的で気になる

[lalala360]

セキュリティ対策でなく、プライバシーマーク対策だから

[n2s]

記事後ろにある代替案まとめ「エンドツーエンドの暗号化を備えるビジネスチャットなど」「S/MIMEやPGP」「パスワードは電話・郵送・直接会うなど別経路で送付」

[Kil]

誤送防止効果はあるでしょ、って思ったけど、自動で勝手に同じ相手に送っちゃうような運用しちゃってるところもあるんだ、っていうことに驚き。

[deep_one]

実際には2番の「パスワードを送る前に気が付く」が重要である（笑）。それが重要なのはGmailとかの「数秒間の間は取り消しできる（実はまだ送ってない）」機能の実装とかが示している。

[sisui_ro]

比較的現実/実践的な代替案は、あらかじめ対面での打ち合わせの場などでデータやり取りの際のファイル暗号キーを口頭で取り交わしておくことかな

[bluegoat511545]

代わりの代替案を教えて頂きたいものですね😓

[yu_fuk]

今更ながらなるほどと感じた記事。組織としてはセキュリティ対策をキチンと講じている感を出して満足してしまい、実は本質的には穴がある運用になってしまっている事に問題がある。

[kabacsharp]

“後続メールでパスワードを別送しても、セキュリティはほぼ向上しない 電子メールは、複数のサーバを経由します。メール送信にTLS/SSLを用いても、暗号化が保証されるのは自分が使用しているメールサーバまでです。”

[lowpowerschottky]

情報セキュリティ監査や認証審査を行う皆さんには、「それが本当にセキュリティリスクへの対策として適切であるか」という観点で助言をしていただきたい　　聞かないんだよね…

[MarHear]

かといって、かといって

[mkusunok]

正直いって明らかに有害なパスワード付きZipがパスワード定期変更よりも長生きしたのは想定外だった。役所や大企業のイナーシャ恐るべし

[weekly_utaran]

東京証券取引所が上場企業に対して、この方法を用いた機密情報のやりとりをしていたら上場廃止にすると宣告するだけでこの無駄な方法はなくなりますよ。上場している大企業ほどこれを強制してきますから。

[souvenir038]

パスワード付きzipは内容が暗号化されているため、受信者が解凍するまではセキュリティスキャンを行えない。もし暗号化されていなければメールサーバ上でスキャン、マルウェアの駆除を行える。

[jfkintko]

おっしゃるとおりだし、ご指摘のデメリットがあるのも理解できるけど、メールでのファイル送信禁止というポリシーで現場の実務が回るのかな？

[seuzo]

PGP導入なんて今や至れり尽くせりなのに、使ってる人はほとんどいません。イヤな話ですが「お客さんのスキルが低ければそれに合わせるしかない」という商習慣（サービス？）にも問題あるような気がします。

[kana0355]

“言葉は悪くなるものの、根本的には情報セキュリティ監査員や認証審査員がなめられているのではないかと筆者は考えてしまいます。”

[Nyoho]

最近はPDFもですよ。"もしデータ送付にどうしてもメールを使用しなければならないのであれば、S/MIMEやPGPといった「公開鍵暗号方式」を用いるか、せめて「電話」「郵送」「直接会う」など、別経路で" 見る影もないですね

[takehora]

技術的に無意味だって分かってるのに、プライバシーマーク取得のために導入しているIT企業や技術者って、私は恥を知った方がいいと思ってる。

[richard_raw]

派遣先で直通電話もないし業務中に私物のスマホを操作するのはばかられるし、事前にパスワード決めておくしかない。

[caesium]

わかった上でポリシーを貫くのは勝手だけど、「ZIPパスワード掛けないでメール送信する人はセキュリティ意識が低い」と評価する風潮は早くなくなって欲しい……と10年以上言い続けている

[jiroron666]

自動でパスワードを送る運用にしてるとこ理解できない…

[road2]

盗聴リスクは承知の上で、甘いけど誤送信防止の一環でしょ。パスワード送るまでに気付いたら止めれるし。システム開発元も誤送信防止としか言ってない。

[uturi]

代替案を考えるとどれもコスト的に見合わないものばかりで、かといって暗号化せずにそのまま送付するのは危険過ぎて、やらないよりはマシだけどあまり効果がない方法が選ばれるのは必然。

[naga_sawa]

添付ファイルを自動暗号化する送信サーバvs暗号化zip付きメールを自動削除する受信サーバﾌｧｲｯ!/皆が使える手軽な方法ってのが標準でないのが辛い/グループ暗号も決め手ないしWebストレージかねぇ

[teo_imperial]

いつも思ってる。

[iwanofsky]

ホント、そう思うわ、、

[ardarim]

人類自体が脆弱性なので仕方が無いね（呆）

[daybeforeyesterday]

うーむ

[kz78]

この前、客にPASS無しのZIPファイルを送付しようとしたら、客のメールサーバーが「セキュリティポリシー違反」で蹴りやがった。自分たちのアホなルールをこっちに押し付けるなクソが。

[tzk2106]

かつて98で席巻した某N社の人達ですらこれやってくるからなぁ。おかしすぎるよ、ほんと。

[tan3sugarless]

実際のところ、こんなやり方とるのはとるに足らないデータであって「なんかしないといけないから」って感じで実施されてる。本当にアカンやつは別の手段とる。

[John_Kawanishi]

今のMailが自動的にパスワード付きZIPにしてしまうSystemなんて辟易してるわけだが

[shinp]

「公開鍵を相手に送ってもらう」が代替案そのものなんだが、そのプロトコルを実施できるほど成熟したリテラシが今後も無理そうっていうのがのう。

[daibutsuda]

そういう企業に限って、IEを愛用してたり、Slack使えなかったりする。ユダヤの陰謀か？

[jyun78]

ふぉ！そうなんデスか！

[dowhile]

21世紀にメール使うなよ