メール添付ファイルの暗号化は対策として適切か？

情報漏洩対策の一環として、添付ファイルをパスワードで保護したり暗号化するというケースが増えている。私は、ウィルス等有害コンテンツ対策ならびに情報漏洩対策の観点から、この動きには問題があると思う。

まず、ウィルス検出ソフトは、パスワード保護されたり暗号化されたファイルのウィルスチェックはできない。ゲートウェイタイプのウィルスチェックでは対応できないので、クライアントでの対策に頼らざるをえなくなる。

メール送信時に内容を監査するシステムがあるが、暗号化した添付ファイルの内容はチェックできないだろう。また、全文保存システムに保存しても、パスワードや暗号鍵が行方不明になったら中身を確認するすべがなくなる。

セキュリティはいたちごっこの繰り返しで、これらの問題点を衝いた攻撃は必ず出現するだろう。

情報漏洩対策、個人情報保護などに本気で取り組むのなら、安易にメールを使うこと自体を見直さなければならない。FAXを送るのに送信記録簿に記録したり上司の許可を必要とするところがあるように、重要なファイルを社外に渡すには相応の手順としくみを採用すべきではないだろうか。

ちなみに、Webベース(当然SSL対応)のファイルアップローダ・ダウンローダで、ユーザ管理、履歴管理機能を持ったシステムを数社が出している(ちなみに私の会社でも出している)。ASPサービスもある。こういったシステムでファイルそのものを受け渡せば、相手も特定できて履歴も残せる。メール添付より手間は増えるが。