日本の企業は特に情報漏洩に過敏で、セキュリティポリシには「Winny使用禁止」「社有PC持ち出し禁止」などが明確に書かれているところも多い。さらに細かくセキュリティポリシの運用規則を定めているところもあり、その中に「メールにファイルを添付するときは、会社指定の暗号化ソフトで暗号化すること」というのがある。というか、僕の知る限りでは、日本の大企業ではそれが常識になっているはずだ。
実際にファイルを暗号化するときには、儀式があるのをご存じだろうか。通常、暗号化ソフトで暗号化されたファイルは、ファイルを受け取った人が復号化するときに手間がかからないように、「自己復号形式」や「自己解凍形式」と呼ばれるWindows実行形式ファイル(拡張子が exe など)になっていることが多い。ただし、前述のとおりウィルス感染予防のために、例えばMicrosofto Outlookのインストール時初期設定では、添付ファイルの拡張子がWindows実行形式の場合に警告を表示してファイルが開けないようになっている。そのため送信者は、自己復号化形式や自己解凍形式のファイルをメールに添付する際に、拡張子を変更(exe → ex_ など)して添付するなどして、受信者に拡張子を元に戻してもらって復号化するのが慣例になっている。
さて、これらを踏まえると、次のようなことが起こる。断っておくが、これから書くことにはものすごく現実味があっても、あくまで例。フィクションだ。決して実際に起こったことではないので、信じないように。そういうこともあるよね〜、あっはっは〜っと笑っていただきたい。
日本の某大企業A社から米国の某スタートアップ企業B社に関係者外秘の技術情報が入ったファイルをメールで送ることになった。A社の担当者がいつものようにファイルを暗号化してメールに添付したところ、いろいろあって、最終的にB社にファイルを送ることができなかった。どういうことか。
第一に、B社のセキュリティポリシに「社外からメールなどで受信した実行形式のファイルは開いてはならない」という条文があった。ちょっと意外かもしれないが、米国では、ことセキュリティポリシに関しては真面目に運用しているようだ。日本では「大企業だから大丈夫だろう」「いつもの取引先」「慣例になっている」など、なおざりになっているのではないか。穿った見方をすれば、日本では現場の判断で臨機応変に対処しなければならないぐらいにセキュリティポリシの運用規則がガチガチに書かれていて、真面目に運用すると業務がまわらないのではないか。まあこれは推測。
第二に、B社にはLinuxとMacしかなかった。最近は安いネットブックがあるから買ってくればいいし、仮想化ソフトを使ってLinuxやMacにWindowsをインストールすることもできる。ということでB社には悪いが、Windowsを用意してもらった。
第三に、英語版WindowsではA社指定の暗号化ソフトの自己復号がうまく機能しなかった。B社に用意してもらったWindowsは当然英語版。まさか日本語版でしか動かないとは。
そしてB社からは「パスワード付ZIPファイルで送ってもらえないか」と提案された。まあ当然だよね。それをなんとA社は拒否。A社のセキュリティポリシの運用規則には「メールにファイルを添付するときは、会社指定の暗号化ソフトで暗号化すること」という条文があるのだが、これが守られないことが多いため、最近この規則がメールシステム上で強制されるようになった。つまり、会社指定の暗号化ソフトで暗号化していないと、メールにファイルを添付しても、A社のメールシステムではじかれてしまって送信できないのだ。ははは。デッドロック。
まあこういうときは、役割上、間に入った人が日本語版Windowsで復号化してあげて、パスワード付ZIPにして送るしかないよね。
ところで、なんでZIPじゃだめなんだろう?正しく使えば、わりと解きにくい暗号化が可能なんだけどなぁ。