パスワードを忘れた? アカウント作成
34332 story
セキュリティ

安全かつ手軽にファイルをやりとりしたい場合、どうすればよい? 134

ストーリー by hylom
パスワードを付ければよいという訳でもない 部門より

あるAnonymous Coward 曰く、

メールで重要な情報や外部に漏れては困るファイルをやりとりする際、ファイルをパスワード付きZIPにして添付し、別のメールでパスワードを送る、といったやり方をする人が居る。自分はこのやり方に意味があるのか?と常々疑問に思っていたのだが、日経ITproでこの方法について、「添付ファイルはパスワード付き暗号化」でいいのか」記事で問題提起がされていた。

しかし、これ以外に手軽かつ安全にファイルを送信するやり方もあまり思いつかない。頻繁にこのようなファイルをやりとりするなら、セキュアにファイルをやりとりできるサーバーを用意するなり、専用のサービスを利用するなりすれば良いのだが、頻度が少ない場合コスト的に現実的ではないと思う。

/.読者のみなさんは、安全にファイルをやりとりしたい場合、どのような手段を使っているのだろうか?

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • そもそも (スコア:3, 興味深い)

    by 127.0.0.1 (33105) on 2008年09月05日 19時07分 (#1416116) 日記
    そもそも、「ある相手」とデータの受け渡しをしていること自体を秘匿したい場合
    どうすればいいか、というあたりから考える必要があるかもねー。
    • Re:そもそも (スコア:2, おもしろおかしい)

      by Anonymous Coward on 2008年09月06日 2時52分 (#1416359)
      古くからある方法と組み合わせればよいのでは。

      定時連絡:街角の壁の穴にUSBメモリーを置く
      緊急連絡:新聞にCD-ROMを挟んで公園のベンチで待つ
      非常事態:BSデジタルデータ放送に紛れ込ませて日本列島全体に一斉送信
      親コメント
    • by Deasuke (34806) on 2008年09月05日 23時33分 (#1416271) 日記
      それは steganography という技術ですね。digital watarmarking と良くにていますが要件が少し違います。大学院時代の後輩が研究していたのですが、彼は今やgoogleの人になって連絡が付かなくなってしまいました。
      --
      Best regards, でぃーすけ
      親コメント
  • by narunaru (30931) <mikahosiNO@SPAMabox9.so-net.ne.jp> on 2008年09月05日 20時20分 (#1416167)
    Windowsの標準機能の暗号化が便利だよ。
    ファイルを右クリックしてプロパティを選択。
    「詳細設定」を開いて、「内容を暗号化して~」をチェック。
    後はOKボタンを押せば暗号化されます。

    それをメールに添付して送るだけ。
    パスワードとか要らないから簡単だよ。

    #一般人のリテラシーなんてこんなもんだ。
    #せっかくSMIMEという仕組みが提供されているんだから、
    #それをそのまま利用すれば何も問題ないのにね。
  • 暗号化して送付 (スコア:3, おもしろおかしい)

    by yasu (7) on 2008年09月05日 21時28分 (#1416197) ホームページ

    「資料は機密性保持のため、MD5で暗号化されております。」

    # 実話

    --
    HIRATA Yasuyuki
  • by tmiura (6268) on 2008年09月06日 0時17分 (#1416290) 日記

    勤め先でも、こんなようなもん作ってくんない? って相談されたことはあるよ。

    なんかPGPだのS-MIMEだの、パーツがあってもリテラシが高くないと使えないものは結局裾野広がらないから、全部ひっくるめて、 まあこんなような、チケットシステムつきのファイル転送のパッケージサービスが広く手に入ればいいんだよね。 またはそんなパッケージの構築キットが。

    次のステップとして公開鍵基盤でもって毎度パスワード渡すのを隠蔽するなり、SNSに仕立ててしまうなりと敷居をもう少し下げてみるとか、外部にファイルを預けちゃうって部分の不安を和らげる仕組みを考えるとか、まあ使いやすくパッケージ化するのがポイントだよね。

  • ダメな例 (スコア:2, おもしろおかしい)

    by Anonymous Coward on 2008年09月05日 15時48分 (#1415983)
    パスワード付きZIPが添付されたメール内に、そのパスワードが書かれていた。

    ……いったい何をしたいんだと問い詰めたかった。
    • Re:ダメな例 (スコア:3, おもしろおかしい)

      by Anonymous Coward on 2008年09月06日 8時03分 (#1416395)
      パスワード付きPDFを送るはずが、うっかりパスワード付け忘れたのが送られてきた。
      すぐにお詫びとともに、同じPDFにパスワード付けたものが送られてきた。

      ……パスワード付きを送り直すことにいったい何の意味があるのかと(以下略)
      親コメント
    • Re:ダメな例 (スコア:2, おもしろおかしい)

      by yasudas (5610) on 2008年09月06日 19時39分 (#1416603) 日記
      ファイル名がパスワードだったことがあったなぁ...
      親コメント
    • 1.パスワードつきZIPを誰かから受け取った
      2.あなたにそれを送る必要ができた
      3.データを保護する必要はないと判断した
      4.しかし再圧縮するのはめんどくさかった
      5.パスワードつきで送っちゃえ!

      こんな感じ?

      #パスワードを縦書きでメールしたらだめかな・・・?
      --
      妖精哲学の三信
      「だらしねぇ」という戒めの心、「歪みねぇ」という賛美の心、「仕方ない」という許容の心
      親コメント
      • 保守資料としてファイルサーバにおいてある文書ファイルにパスワードがかかっていた。
        当然そのパスワードは誰も知らない。
        しかも、トラブル発生で顧客対応中にそれが発覚。
        --
        ◆IZUMI162i6 [mailto]
        親コメント
        • 保守資料としてファイルサーバにおいてある文書ファイルは肥大化した自己解凍EXEファイルで
          ファイルは日付制限付き暗号化がされていて 解凍しようとすると
           「このファイルを解凍する制限日を超えています」
          とかいって ファイルフォルダ事消去しやがる EXEファイル

          ってのに 遭ったんだよ、信じてくれよ。

          どうしたかって? そりゃ フォルダを復活させて、お馬鹿なexeファイルは
          隣のノートPCに移して LANから外し SNTPを止めて
          そのフォルダとPCの日付を 当時に戻 げふんげふん

          親コメント
        • 独自の暗号化ソフトを入れた
        • 相手先が暗号化ソフトを入れていなくても解凍できるように顧客に EXE の自己実行形式で送った
        • 顧客によってはメールサーバーで添付が削除された
        • 正体不明な EXE を実行するクセがついてしまい、ウイルスに感染し情報漏えいを起こした
        • ついでに顧客にもウイルスの EXE をバラ巻いてしまった
        # 秘文って少しは良くなったのかな
        親コメント
    • ああ、本文にパスワードが書かれていて、ZIPが添付か。
      パスワードが書かれたテキストファイルがZIPに含まれているのかと思った。
      --
      ぽぇんぷしゅう。
      親コメント
    • by kamiyan (10895) on 2008年09月05日 19時49分 (#1416147) ホームページ
      同じメールの本文にパスワードってのはさすがにないんですが、
      パスワードだけを書いたメールが少し経ってやってくる、だったら結構あります。
      秘密にしたいんだったらせめて電話で教えて欲しい。

      最近はSkyDrive使うことが多いです。
      親コメント
    • by yasu (7) on 2008年09月05日 21時25分 (#1416196) ホームページ

      会社によってはパスワード付きのファイルではないと外部への送信が出来ないことがあります。 機密ではないファイル (マニュアルのPDFとか) を送信する場合でも、同様のルールが適用されるので仕方なく本文中にパスワードを書いておくことはよくあります。

      # (#1415983) さんの場合はこれとは違うのでしょうけど。

      --
      HIRATA Yasuyuki
      親コメント
  • PGP(GPG) (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2008年09月05日 18時17分 (#1416082)
    とりあえず、先に公開鍵だけ交換しておけば、何とでも。
    #Publik Key Server利用というのもなくはないですけど。

    ただ、メールでは添付できないサイズのデータをやり取りするニーズの方が大きいので、うちでは公開鍵認証でSCP(SFTP)が主流です。
    #未だにFTPとかいう輩が多いのですが、全て跳ね除けています。
    • 自分はともかく相手がそんなリテラシーを持ってないことが多くて。
      ぶっちゃけお手軽じゃないんですよね。

      というわけで私もお手軽な方法があるなら知りたいです。
      タレコミのリンク先にあるように、現状では
      「パスワード付きファイルをメール送信+パスワードをFAX送信」
      が相手に要求する知識が一番少ないんでしょうか。
      大容量データ交換用の便利なWebサービスとか無いでしょうか。
      しかしそれはそれで業者が信用できないといけませんねぇ。
      親コメント
      • by Technical Type (3408) on 2008年09月06日 0時02分 (#1416283)
        UNIX 使いなら楽勝なんだけど Windows じゃ sftp 系は無理…だったけど、Windows でも SCP/SFTP/FTPクライアントが無償で手軽に使える [osdn.jp]ようになったのかな。

        Filezilla だとサーバーにもなる [aconus.com]けど。
        親コメント
      • 一般的になっているお手軽な方法というのがないってことが困りもので、

        「暗号化して送れます?メールだめならSCPとかSFTPサーバとかあります?」って聞けないから、
        リテラシーがないものとしてしまっている気もする。

        担当者間でのファイル受け渡しが頻繁にあるなら、
        「データの授受はどうしましょうか」ってネゴしてしておけばいいが、
        それが必要ってことはお手軽じゃないんですよね。

        もろもろのセキュリティ対策を情報システム部門がサポートを用意していてくれないといけないし、
        統制が厳しくなって自分だけ導入するってのもやりにくくなっている。
        たまの利用なら、申請が必要だなんだかんだ言われるのが面倒で、
        結局メールでzipファイル送っちゃうということも多そう。

        政府系や大企業ではPGPによる署名を義務化するなど一般化するための方法を考えないといけないと思う。
        #エンドユーザと接するヘルプデスクとかは除く。
        親コメント
    • Re:PGP(GPG) (スコア:2, 興味深い)

      by Deasuke (34806) on 2008年09月05日 18時58分 (#1416108) 日記
      社内では暗号化や稟議承認などにGPGを利用するようにしていますね。ただ、外部とのやりとりでは外部にGPGを導入させるのは大変なのでパスワードを別メールで送る良くないやり方になってしまっています(一応社内の規定ではGPGを推奨ということになっていますが)。
      --
      Best regards, でぃーすけ
      親コメント
    • by dameneco (33758) on 2008年09月05日 22時35分 (#1416230) 日記
      SFTP秘密鍵で守られたFTPを使ってます。
      アクセスログ見るにつけ特に問題は起こしてないかと
      親コメント
  • ユーザ様はいつでもwgmm (スコア:2, すばらしい洞察)

    by acc (36768) on 2008年09月05日 18時59分 (#1416109)
    >安全かつ手軽にファイルをやりとりしたい

    一般的にいえば、手軽さと安全さはトレードオフなんじゃないかしら?
  • by ksyuu (4917) on 2008年09月05日 22時44分 (#1416240) 日記
    発送を変えて鳩を使えばよいと思います。
  • というのが普通のやり方かと思うのですが。
    それのみでは情報が完結しない形で、ファックスでパスワードを送るとか。
    # 確かに、最近、メール2通に分けてという人、多いですよね。「あまり意味がない」と言うようにはしていますが……。
  • 根本的に (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2008年09月05日 18時58分 (#1416107)
    メールに漏れたら困るようなファイルを添付すること自体が間違いでしょう。
  • 以心伝心 (スコア:1, おもしろおかしい)

    by Anonymous Coward on 2008年09月05日 19時00分 (#1416110)
    ファイルなんて物理的過ぎる。
    やはり以心伝心最高!
  • まあ、盗聴されてる可能性はありますが、相手が一人ならメッセンジャーとかIRCのDCCとかが手軽かつ受け渡し確認も出来ていいんじゃないですかね。

    少なくとも、メールで送るよりは安全なんじゃないかと。
  • by midcpp (21702) on 2008年09月05日 19時17分 (#1416122)
    ZMODEM とか
  • by vn (10720) on 2008年09月05日 19時17分 (#1416123) 日記
    このストーリーが、トップページ下部の SF.JP Magazine と全然連動していないところがなかなか凄い。
    SCP / SFTP が、「ネットワーク経由で安全にファイルを転送する方法」のひとつなんだそうである。

    ならば結構な話だが、あんまり普通のビジネスマンが対応してくれそうにない....
    IRC やメッセンジャーも同様。
  • 普通郵便で送れませんかね?
    CD-Rに焼いて送るんでもいいですけど。
    …と思ったけど郵便事故を考えるとeメールよりさらにダメな感じかもしれない。

    #社内メールの封筒は割とマチがあるのでたまに送ります。大きいファイルだとメールボックス溢れたりするし。
  • ①ファイルとかシリアライズされたバッファとかをCDとかに記録する。
    ②宛先人に直接手渡し。
    以上。
    かなりアナログ的手法だけど、一番安全かつ手軽。
  • by gendohki (16311) on 2008年09月05日 21時20分 (#1416192)
    呼びつける。

    でも、映画版LotRのスタッフが、映像データが入ったiPod持って移動中に強盗(っぽい人)に追い掛け回された。って話があったなぁ。

    書留もいいと思うのですが、より安全を期すなら分割して複数送りつけるのがいいんでしょうね。
    ネット経由限定だったら、ISHとかどうなんでしょ?
    --
    「なんとかインチキできんのか?」
  • by Anonymous Coward on 2008年09月05日 22時37分 (#1416234)

    パスワードを付けたりなんだりかんだり・・・って大事そうにするからいかんのじゃないかい?
    大量の無意味で退屈なデータの中にひとつだけ大事なデータをそっと忍ばせる。
    木を隠すなら森の中。

    偉いひとにはそれがわからんのですよ。

  • 情報伝達要員が、合言葉と引き換えにある場所を指定する。
    そこへ行くとカセットあるいはディスクメディアに入った指示書があるのでそれのスイッチを入れる。すると一度だけしか再生できないメッセージが始まる:

    「おはよう、フェルプス君。

    この方法は 2006年まで40年間一度たりとて問題を起こした事がない、すばらしい実績を伴った情報交換方式だ。しかも、メディアが完全に壊れたにもかかわらず、その後、なぜか大量のデータがジムの手元には到達し、それらの資料を基に彼は作戦を遂行させるのだ。

    .

    放送されていないか、されているのに我々には判らない方法で、最初のミッション説明の際にパスワードも配布してもらえるのに違いない。(^.-)
    --
    fjの教祖様
  • by kujira090 (16707) on 2008年09月05日 23時13分 (#1416258) 日記
    ファイルを暗号でメールして、パスワードは手書きFAXとか電話とか。

    で、相手がスパイだったりするんですね、わかりまs
    --
    #壮大なストーリ。空転するアイディア。
  • パスワードを送るメールはPGPかけたほうがいいですね。
    このタレコミ見てまっさきに頭に浮かんだのが、

    scpでコピー

    でした。
    --

    - Project Prominence -
    http://www.prominence.tv/
  • by ksh2ksk4 (11188) on 2008年09月06日 0時39分 (#1416307)
    頻繁にファイルの授受をする相手であれば,予めパスワードの生成規則(日付,曜日,特定のフレーズなんかを織り交ぜるような)を決めておくというのはどう?
    少なくともパスワードを遣り取りすることはなくなる.
typodupeerror

皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー

読み込み中...