デジタル庁はなんでもやるのか

デジタルを担当されている平井卓也大臣の閣議後の会見として、「メールにファイルを添付して送信する際に、暗号化した上でパスワードを別のメールで送る」方式をやめるという報道がありました。

本来の添付ファイル付きのメールのあとに、パスワードが送付されてきて、ファイルを解凍する際にその暗号を入力するという方式は、たしかに、多くの企業に採用されていて、いちいちパスワードを入力するのはわずらわしいと感じたことが何度かあります。

記事をよく読むと、同じ通信手段で、本来の添付ファイル付きメールと、パスワードのみのメールを送るので、それをハッキングされた場合、添付ファイルも暗号も盗み取ることができるので、結果としてセキュリティ面では何の効果もないと書かれています。

さらに、受け取った側は、添付ファイルにウィルスが含まれていないか確認する必要があるのにもかかわらず、暗号を入力しなければ中身を確認できず、しかし、暗号を入れたとたんにファイルは開いてしまうので、悪意のあるウィルスを添付ファイルに忍ばせておけば、まんまと相手のパソコンに侵入することができるという脅威があります。

なんとなく、防衛しているつもりが、まったく効果を発揮していないどころか、つけ入るスキをわざわざこしらえている、というようなことがパソコンの世界ではいろいろあるようです。

例えば、企業によっては、パソコンを立ち上げるときに入力するパスワードを3か月に一度変更することを義務づけていたりします。そうすると、数が多くなって覚えきれずに手帳にメモする人も出てくるでしょうし、あるいは、ひとによって変更のルールをパターン化(例えば、名前+日付のように)するようになり、それはセキュリティ上、見破りやすいものだという話もあります。

そのようなことはいろいろあろうかと思いますが、パソコンの「お作法」の部類ではないかと思っております。大臣が「今度はこういう方針でいく」と宣言されるようなものとは、ちょっと違うような。

すそ野から入っていって、だんだん、根本問題に行き着くのでしょうか。どこかにあるのかもしれませんが、たくさんやることがありそうな「デジタル庁」の実行計画のようなものを知りたくなりました。

(写真は「写真AC」のoldtakasuさんからいただきました)