こんにちは。フリーエンジニアの木下です。
メールの添付ファイルはパスワード付きZIPでなければならない、というルールが適用された組織は結構多いのではないでしょうか?
今回は実際にシステム部門外で
『パスワード付きZIPをメールの添付ファイルにする、ないし電子メールは暗号化して送信することを強制されたユーザー』
と言うのはどう考えているか、をユーザー側の視点に立って解説します。
ざっくり申し上げますと以下のような声(考えていること)が多いです。
- 連載『メールと添付ファイルについて学ぼう』のほかの記事はこちら
第1回:この記事 - 第2回:なぜ、複雑な電子メールのルールは形骸化するのか
- 第3回:メール添付ファイルで遭遇するトラブル一例
- 1.三つのめんどくさい
これによって最悪「ルールが形骸化してしまう」という事態にも発展してしまいます。各々について考えてみます。
■ めんどくさいその1:パスワードの作成
複雑なパスワードを使わないといけない、という点については理解できたとしても、それでも取引先に複雑なパスワードを送付する、ということが気分的に憚られる方もいらっしゃいます。
つまり、メールを送るユーザーもメールを受け取るユーザーも十分に安全な水準のパスワードを入力することを強制されることに対して「めんどくささ」を感じることになります。
パスワードを生成する側の視点では自分で複雑なパスワードを考案して相手方に送付することへの不安の一つとして「パスワードが面倒なんだよね」と相手方から言われることへの心的負担かと思います。
システムで強制&自動化されているのであれば、「会社のシステムで自動的にパスワードは複雑になっているものですから…。」と、システムのせいにできますので、多少の心的負担は和らぐのではないでしょうか。
また、生成するにしても、「大文字/小文字/数字/記号の四種類を組み合わせて必ず8文字以上」と言うパスワードをメールの添付ファイルの都度考えてパスワード付きZIP生成時に入力する、というのも"普段からセキュリティを意識していないユーザー"にとっては面倒に感じる傾向にあります。
■ めんどくさいその2:パスワード付きZIPを生成すること
ユーザー目線では、
1) メールを作成する
2) ファイルを(ドラッグ&ドロップなどで)メールに添付する
3) メールを送信する
この3つのステップで完了していた操作が、
1) メールを作成する
2) 送信対象ファイルを指定し、パスワード付きzipを生成
3) メールに生成したZIPファイルを添付する
4) メールを送信する
5) パスワード付きzipファイル展開パスワードを別メールで送付
パスワード付きZIPファイルを生成するという操作と、ZIPファイルを展開するためのパスワードを別メールで送付する、というステップが増えています。
パスワード付きZIPを生成する、という操作が困難な方も世の中にはいらっしゃいます。またパスワードをわざわざ別メールを作成して送付しなければならないことについて面倒に感じるユーザーもいらっしゃいます。
総じて、手作業が増えることに対する純粋な「めんどくささ」がユーザーの不評を買う傾向にあります。
■ めんどくさいその3:ZIPファイルを展開できない!
一部のネットユーザーでは信じられない話かもしれませんが、ZIPファイルを展開できない、と言う方は世の中に存在しています。
この場合、ZIPファイルを展開するための方法を先方に連絡する必要があるのですが、この操作手順を説明する、というサポートはなかなかに骨の折れる作業となりがちです。
かつて私も何度か応対したことがありますが、電話で展開方法を説明するのも大変です。パスワード付きZIP展開手順書を作成して受取先に送付する、という本末転倒なことにもなったことがあります。メールの添付ファイルでは送信できないのでこの時はFAXで送付した記憶があります。
パスワード付きZIPを展開できない相手であれば、パスワード付きZIPを送付する以上の手間が掛かってしまう、ということもあるということは認識しておいてもいいと思います。
つまりそのような送信先に対してはzipファイルを添付する以外の安全な方法が欲しい、という要望に発展していくことになります。
■ 私が誤送信(宛先間違い)するわけがない
これは表立ってこういった発言をするユーザーの方もいらっしゃいますし、思っていても口には出さないユーザーの方もいらっしゃいます。
が、こういった発言があるかどうかに関わらず、誤送信を実行してしまうことは誰にでもあります。誤送信するわけがないという前提に立って電子メールと言う道具を使っているかどうかはあまり関係なく、「全ての電子メールユーザーは誤送信してしまう可能性を持っている」と考えていいと思います。
競合する取引先にたまたま同姓同名の社員が居る、忙しくて複数のウィンドウを開いている状態でメールの送信をしたら違う宛先への返信になった、といった、たまたま誤認識した、というところからメールの誤送信は発生してしまうことが多くあります。
企業のシステムとしましては、たまたまの誤認識による誤送信も防ぎたい、と考えるものです。
また、企業内にはさまざまな人が居ますので、人によって注意レベルが異なるのはやむを得ないところです。
このユーザーは誤送信をしなさそう、このユーザーは誤送信をしそう、とユーザーによって対処を区別する、というのは困難なところがあって、たとえあなたが「私は絶対に誤送信はしません。」と言う方であっても、同じ企業内に誤送信しそうな社員が在籍している限り、やはり企業としては誤送信に対する対策を採る必要はあります。
■ ちょっとくらいそのまま送ってもいいか
忙しい時には魔が差す、ということもあります。
会社のルールでメールの添付ファイルはパスワード付与や暗号化した状態でメールに添付しなければならない、と決められていても、忙しくてどうしようもない時にはどうしても「これくらいなら」という気になってしまうのは人間ですから誰しも思うことです。
最近では、会社のメール環境で送信するメールは自動的に上席社員にBCCされるような仕組みが導入されていることも多く、会社の電子メール利用においてはかなり抑制された状況にあることが多くなってきています。もしこのような設定がなされているメール環境であれば、ちょっとくらいいいか、と魔が差してしまったことでも直ちに上席社員の知るところとなってしまいます。
■ なんでやるか意味が分からない
究極はこれなのですが、システム部門の情報発信によっては意外とこう考えているユーザーの人数は増えます。
つまり、電子メールの添付ファイルを正しい相手にのみ引き渡す、という目的を持って組織は「添付ファイルをパスワード付きZIPに」と社内ルールを適用します。言い換えると「誤送信対策」としてパスワード付きZIP化するのですが、誤送信対策という安全管理措置を達成するには、「宛先を”絶対に”間違えない」ことでも代替できるようにユーザーからは見えてしまいます。そうなると、前述した「私が誤送信(宛先間違い)するわけがない」と考えているユーザーとしては、”誤送信をしない”ことが前提にありますので「パスワード付きZIP化をやる意味はない」という思考になってしまうことがあるようです。
パスワード付きZIP化するのは重要な情報が誤送信によって意図しない相手に送信されたとしても、パスワードを送らないことで中身を確認できない、と言う狙いがあります。つまり「電子メールを使う限り誤送信は誰にでも発生するインシデント」という前提をユーザーには理解してもらい、誤送信をしてしまった後に失敗を取り戻すための手段としてパスワード付きZIP化を恒常的にする、という点をしっかりユーザーに理解してもらう必要性があります。
ここまででご紹介したように、問題意識が共有されていない状態で運用・利用が継続してしまうことで、実際に大きな問題に発展してしまうことがあります。
次回でこの点について解説いたします。
