安全かつ手軽にファイルをやりとりしたい場合、どうすればよい? 134
ストーリー by hylom
パスワードを付ければよいという訳でもない 部門より
パスワードを付ければよいという訳でもない 部門より
あるAnonymous Coward 曰く、
メールで重要な情報や外部に漏れては困るファイルをやりとりする際、ファイルをパスワード付きZIPにして添付し、別のメールでパスワードを送る、といったやり方をする人が居る。自分はこのやり方に意味があるのか?と常々疑問に思っていたのだが、日経ITproでこの方法について、「添付ファイルはパスワード付き暗号化」でいいのか」記事で問題提起がされていた。
しかし、これ以外に手軽かつ安全にファイルを送信するやり方もあまり思いつかない。頻繁にこのようなファイルをやりとりするなら、セキュアにファイルをやりとりできるサーバーを用意するなり、専用のサービスを利用するなりすれば良いのだが、頻度が少ない場合コスト的に現実的ではないと思う。
/.読者のみなさんは、安全にファイルをやりとりしたい場合、どのような手段を使っているのだろうか?
そもそも (スコア:3, 興味深い)
どうすればいいか、というあたりから考える必要があるかもねー。
Re:そもそも (スコア:2, おもしろおかしい)
定時連絡:街角の壁の穴にUSBメモリーを置く
緊急連絡:新聞にCD-ROMを挟んで公園のベンチで待つ
非常事態:BSデジタルデータ放送に紛れ込ませて日本列島全体に一斉送信
Re:そもそも (スコア:1)
Best regards, でぃーすけ
Windowsの標準機能が便利だよ。 (スコア:3, おもしろおかしい)
ファイルを右クリックしてプロパティを選択。
「詳細設定」を開いて、「内容を暗号化して~」をチェック。
後はOKボタンを押せば暗号化されます。
それをメールに添付して送るだけ。
パスワードとか要らないから簡単だよ。
#一般人のリテラシーなんてこんなもんだ。
#せっかくSMIMEという仕組みが提供されているんだから、
#それをそのまま利用すれば何も問題ないのにね。
Re:Windowsの標準機能が便利だよ。 (スコア:1, すばらしい洞察)
# 部分もジョークなんでしょうか?
暗号化して送付 (スコア:3, おもしろおかしい)
「資料は機密性保持のため、MD5で暗号化されております。」
# 実話
HIRATA Yasuyuki
パッケージとしてのサービス (スコア:3, 参考になる)
勤め先でも、こんなようなもん作ってくんない? って相談されたことはあるよ。
なんかPGPだのS-MIMEだの、パーツがあってもリテラシが高くないと使えないものは結局裾野広がらないから、全部ひっくるめて、 まあこんなような、チケットシステムつきのファイル転送のパッケージサービスが広く手に入ればいいんだよね。 またはそんなパッケージの構築キットが。
次のステップとして公開鍵基盤でもって毎度パスワード渡すのを隠蔽するなり、SNSに仕立ててしまうなりと敷居をもう少し下げてみるとか、外部にファイルを預けちゃうって部分の不安を和らげる仕組みを考えるとか、まあ使いやすくパッケージ化するのがポイントだよね。
Re:パッケージとしてのサービス (スコア:1, 参考になる)
http://www.lnet.co.jp/promotion/web/storage/index.html [lnet.co.jp]
ダメな例 (スコア:2, おもしろおかしい)
……いったい何をしたいんだと問い詰めたかった。
Re:ダメな例 (スコア:3, おもしろおかしい)
すぐにお詫びとともに、同じPDFにパスワード付けたものが送られてきた。
……パスワード付きを送り直すことにいったい何の意味があるのかと(以下略)
Re:ダメな例 (スコア:2, おもしろおかしい)
Re:ダメな例 (スコア:1)
2.あなたにそれを送る必要ができた
3.データを保護する必要はないと判断した
4.しかし再圧縮するのはめんどくさかった
5.パスワードつきで送っちゃえ!
こんな感じ?
#パスワードを縦書きでメールしたらだめかな・・・?
妖精哲学の三信
「だらしねぇ」という戒めの心、「歪みねぇ」という賛美の心、「仕方ない」という許容の心
そこから派生する駄目な例 (スコア:1)
当然そのパスワードは誰も知らない。
しかも、トラブル発生で顧客対応中にそれが発覚。
◆IZUMI162i6 [mailto]
Re:そこから派生する駄目な例 (スコア:1)
ファイルは日付制限付き暗号化がされていて 解凍しようとすると
「このファイルを解凍する制限日を超えています」
とかいって ファイルフォルダ事消去しやがる EXEファイル
ってのに 遭ったんだよ、信じてくれよ。
どうしたかって? そりゃ フォルダを復活させて、お馬鹿なexeファイルは
隣のノートPCに移して LANから外し SNTPを止めて
そのフォルダとPCの日付を 当時に戻 げふんげふん
Re: もっともダメな例 (スコア:1)
- 独自の暗号化ソフトを入れた
- 相手先が暗号化ソフトを入れていなくても解凍できるように顧客に EXE の自己実行形式で送った
- 顧客によってはメールサーバーで添付が削除された
- 正体不明な EXE を実行するクセがついてしまい、ウイルスに感染し情報漏えいを起こした
- ついでに顧客にもウイルスの EXE をバラ巻いてしまった
# 秘文って少しは良くなったのかなRe:ダメな例 (スコア:1)
パスワードが書かれたテキストファイルがZIPに含まれているのかと思った。
Re:ダメな例 (スコア:1)
パスワードだけを書いたメールが少し経ってやってくる、だったら結構あります。
秘密にしたいんだったらせめて電話で教えて欲しい。
最近はSkyDrive使うことが多いです。
Re:ダメな例 (スコア:1)
会社によってはパスワード付きのファイルではないと外部への送信が出来ないことがあります。 機密ではないファイル (マニュアルのPDFとか) を送信する場合でも、同様のルールが適用されるので仕方なく本文中にパスワードを書いておくことはよくあります。
# (#1415983) さんの場合はこれとは違うのでしょうけど。
HIRATA Yasuyuki
Re:ダメな例 (スコア:1)
Yuzam
PGP(GPG) (スコア:2, すばらしい洞察)
#Publik Key Server利用というのもなくはないですけど。
ただ、メールでは添付できないサイズのデータをやり取りするニーズの方が大きいので、うちでは公開鍵認証でSCP(SFTP)が主流です。
#未だにFTPとかいう輩が多いのですが、全て跳ね除けています。
そうしたいのはやまやまなれど (スコア:4, 興味深い)
ぶっちゃけお手軽じゃないんですよね。
というわけで私もお手軽な方法があるなら知りたいです。
タレコミのリンク先にあるように、現状では
「パスワード付きファイルをメール送信+パスワードをFAX送信」
が相手に要求する知識が一番少ないんでしょうか。
大容量データ交換用の便利なWebサービスとか無いでしょうか。
しかしそれはそれで業者が信用できないといけませんねぇ。
Re:そうしたいのはやまやまなれど (スコア:2, 参考になる)
Filezilla だとサーバーにもなる [aconus.com]けど。
Re:そうしたいのはやまやまなれど (スコア:1)
「暗号化して送れます?メールだめならSCPとかSFTPサーバとかあります?」って聞けないから、
リテラシーがないものとしてしまっている気もする。
担当者間でのファイル受け渡しが頻繁にあるなら、
「データの授受はどうしましょうか」ってネゴしてしておけばいいが、
それが必要ってことはお手軽じゃないんですよね。
もろもろのセキュリティ対策を情報システム部門がサポートを用意していてくれないといけないし、
統制が厳しくなって自分だけ導入するってのもやりにくくなっている。
たまの利用なら、申請が必要だなんだかんだ言われるのが面倒で、
結局メールでzipファイル送っちゃうということも多そう。
政府系や大企業ではPGPによる署名を義務化するなど一般化するための方法を考えないといけないと思う。
#エンドユーザと接するヘルプデスクとかは除く。
Re:PGP(GPG) (スコア:2, 興味深い)
Best regards, でぃーすけ
Re:PGP(GPG) (スコア:1)
暗号化するかどうかは稟議書かそうでないかにかかわらず内容によります。内容が個人の昇給を提案する稟議書など、個人情報を含む場合、新規製品開発のような機密情報を含む場合はGPGで暗号化しています。そうでない場合はしません。
Best regards, でぃーすけ
Re:PGP(GPG) (スコア:1)
アクセスログ見るにつけ特に問題は起こしてないかと
ユーザ様はいつでもwgmm (スコア:2, すばらしい洞察)
一般的にいえば、手軽さと安全さはトレードオフなんじゃないかしら?
電子化されたネットワークではなく (スコア:2, おもしろおかしい)
RFC 1149? (スコア:1)
実験レベルならあります [linux.no]
HIRATA Yasuyuki
互いに保管しあう複数のチャンネル経由の情報を使う (スコア:1)
それのみでは情報が完結しない形で、ファックスでパスワードを送るとか。
# 確かに、最近、メール2通に分けてという人、多いですよね。「あまり意味がない」と言うようにはしていますが……。
Re:互いに保管しあう複数のチャンネル経由の情報を使う (スコア:1)
ファックスについては、元記事でも言及していますね。ちゃんと読んでなくてすみません。
根本的に (スコア:1, すばらしい洞察)
Re:根本的に (スコア:1, すばらしい洞察)
以心伝心 (スコア:1, おもしろおかしい)
やはり以心伝心最高!
メッセンジャーで受け渡し、かなぁ (スコア:1)
少なくとも、メールで送るよりは安全なんじゃないかと。
しもべは投稿を求める →スッポン放送局がくいつく →バンブラの新作が発売される
元に戻って (スコア:1)
SCP / SFTP? (スコア:1)
SCP / SFTP が、「ネットワーク経由で安全にファイルを転送する方法」のひとつなんだそうである。
ならば結構な話だが、あんまり普通のビジネスマンが対応してくれそうにない....
IRC やメッセンジャーも同様。
細身のUSBメモリキーなら (スコア:1)
CD-Rに焼いて送るんでもいいですけど。
…と思ったけど郵便事故を考えるとeメールよりさらにダメな感じかもしれない。
#社内メールの封筒は割とマチがあるのでたまに送ります。大きいファイルだとメールボックス溢れたりするし。
Re:細身のUSBメモリキーなら (スコア:2, おもしろおかしい)
Re:細身のUSBメモリキーなら (スコア:1)
マイクロSDならハガキにセロテープで貼り付けていけるかも。
> …と思ったけど郵便事故を考えるとeメールよりさらにダメな感じかもしれない。
事故が起きる前提で暗号化して、パスワードはeメールで送るとか。
答えはそれなりに簡単だと思う。 (スコア:1)
②宛先人に直接手渡し。
以上。
かなりアナログ的手法だけど、一番安全かつ手軽。
そこまでするなら(Re:答えはそれなりに簡単だと思う。) (スコア:1)
全部紙に手書きして手渡しする。
これなら、その紙を手元から離さない限り、
他人に漏れる心配はない。
#CDだったら同じかな?
そりゃもう単純に (スコア:1)
でも、映画版LotRのスタッフが、映像データが入ったiPod持って移動中に強盗(っぽい人)に追い掛け回された。って話があったなぁ。
書留もいいと思うのですが、より安全を期すなら分割して複数送りつけるのがいいんでしょうね。
ネット経由限定だったら、ISHとかどうなんでしょ?
「なんとかインチキできんのか?」
木を隠すなら森の中に (スコア:1, 興味深い)
パスワードを付けたりなんだりかんだり・・・って大事そうにするからいかんのじゃないかい?
大量の無意味で退屈なデータの中にひとつだけ大事なデータをそっと忍ばせる。
木を隠すなら森の中。
偉いひとにはそれがわからんのですよ。
1966年からずーっとテレビでやっているのに何故皆知らない?! (スコア:1)
そこへ行くとカセットあるいはディスクメディアに入った指示書があるのでそれのスイッチを入れる。すると一度だけしか再生できないメッセージが始まる:
「おはよう、フェルプス君。
この方法は 2006年まで40年間一度たりとて問題を起こした事がない、すばらしい実績を伴った情報交換方式だ。しかも、メディアが完全に壊れたにもかかわらず、その後、なぜか大量のデータがジムの手元には到達し、それらの資料を基に彼は作戦を遂行させるのだ。
.
放送されていないか、されているのに我々には判らない方法で、最初のミッション説明の際にパスワードも配布してもらえるのに違いない。(^.-)
fjの教祖様
Re:1966年からずーっとテレビでやっているのに何故皆知らない?! (スコア:1, おもしろおかしい)
知らないんじゃない。書いてもおもしろくないだろうから皆ボツにしただけ。君も書いてみて「おもしろくないなぁ」と思ったでしょ。
思いつく方法 (スコア:1)
で、相手がスパイだったりするんですね、わかりまs
#壮大なストーリ。空転するアイディア。
パスワードを書いてメール (スコア:1)
このタレコミ見てまっさきに頭に浮かんだのが、
scpでコピー
でした。
パスワード生成規則 (スコア:1)
少なくともパスワードを遣り取りすることはなくなる.
Re:リテラシーも何もない (スコア:1)
全ての添付ファイルがパスワードで暗号化されたEXE形式に変換されていました。
メールの誤送による情報漏洩防止のため、との理由でしたが、
親会社ではEXEファイルが添付されたメールを自動的に削除する設定にしていたため、
導入初日から大混乱に。
その後も、社内にも送付先にも「EXEファイルって何?」という人たちが大勢いたので、
添付ファイルの取り扱いを懇切丁寧に説明したやたらに長い注釈を付けたり、
それでもわからない人に電話で説明したりと、添付ファイルの送信にメチャメチャ
手間がかかるようになったことから、結局、あれこれ理由をつけて、
できるだけデータの送信自体をしないようになりました。
送付するためのデータの作成より、添付ファイルの処理の説明の方が
遙かに時間がかかるのではねえ。
まあ、情報交換自体の頻度が落ちれば、情報漏洩の危険性は低下するのでしょうが、
業務の非効率性が上昇してしまったわけで……得をしたのはソフト会社だけ。