メールで暗号化ファイルと別にパスワードを送るのは安全なのか？

ITのセキュリティ・ネットワークを専門としている、masaといいます。

今更ながら、Note初挑戦です(笑)

パソコンのセキュリティについてよく聞く疑問について書いてみようと思って始めてみました。
最初の話題は、「メールで暗号化ファイルと別にパスワードを送るのは安全なのか？」についてです。

１．いきなり結論（あんまり効果はない）
２．メールの盗聴なんてできるの？
３．関連ニュース
４．今後の予想

１．いきなり結論

ここだけ見て閉じちゃう人もいるかもしれませんが、あまり効果はないというのが一般的な考え方です。
実際の郵便物に考えてみると、1通目で鍵付きの郵送物を送って、2通目で鍵を送ったとします。
1通目が盗難された場合、2通目の鍵も盗難されますよね(苦笑)。

あえてメリットを挙げるとすれば、1通目を送った後、2通目を送るときに宛先誤りに気付いて誤送信による情報漏洩リスクを少なくできる…とかでしょうか。

２．メールの盗聴なんてできるの？

メールの盗聴はよく聞きますが、どれくらい実現性があるものなのでしょうか？
会社でメールサーバを使って送る時と、自宅でインターネットメール(Gmail、Yahooメール等)を送る時は、ネットワークが異なるため別の考え方をする必要があり、今回は自宅でGmailを使って、友達のYahooメールにメールを送る時のことを考えみます。

書き終わったメールの送信ボタンを押すと、Gmailのサーバ(郵便局のようなもの)からインターネット上のサーバをいくつも経由して、Yahooメールのサーバにメールが送られます。
インターネット上のサーバというのは個人でも作ることができるので、もしかするとあなたが送ったメールが悪い人が作ったサーバを経由した時に中身を盗み見られている…ということがあるかもしれません。

現実世界では、誰か知らない人が作った郵便局に郵送物が運ばれるようなことはあり得ないのですが、インターネットの世界ではあり得てしまいます。※信頼されたサーバ同士でしか通信しないような技術もありますが、その技術にサーバが対応していないといけないので普及しきっていない状況です

長くなりましたが、特定のメールを狙って盗聴するのは難しいですが、ある程度の技術力がある人であれば、インターネット上を流れているメールの盗聴はできなくはないです。
なので、添付ファイルの暗号化が必要なんですね。

３．関連ニュース

話を戻して、暗号化した添付ファイルのパスワードを別メールで送るのがあまり効果がないのであれば、なぜその方法が今の主流になっているのでしょうか？
これは個人的な考えも含まれますが、それくらいしかやれることがなかったから…ではないでしょうか(苦笑)

暗号化した添付ファイルのパスワードを別メールで送ることが好ましくないことは個人的な考えではありません。
21年1月のニュースで日立製作所が4月からこの方法を全面禁止するというニュースが話題になりました。
この方法はPPAPと呼ばれているらしく（私もニュースで知りました）、ピコ太郎氏のPPAPと関連して話題になったようです。
https://xtech.nikkei.com/atcl/nxt/column/18/00157/012200076

４．今後の予想

では、PPAPが廃止された後は、どのような技術が使われるのでしょうか。
まだ公式な情報がないので予想になってしまいますが、今後はクラウドストレージ(OneDrive、BOX、Dropboxなど)の利用が広がるのではないかと考えています。

具体的には、インターネット上にファイルを保存して、作成したリンク情報をメールで送り、受信者はリンクをクリックしてファイルを閲覧したりダウンロードします。
パスワードはクラウドストレージのシステムから送ることで、リンク情報とパスワードは別の方法で送られるので、リンク情報・パスワードの2つの情報を同時に盗聴される可能性は低くなります。
さらに、閲覧のみ可能にすればファイルが流出することもなりますし、期間を設定することで無期限に情報がさらされることもなくなるなどセキュリティが向上します。
https://chiilabo.com/2019/10/onedrive-file-share/

以上、長くなりましたが「メールで暗号化ファイルと別にパスワードを送るのは安全なのか？」についてでした。

※もっと詳しく知りたい、他にもセキュリティ・ネットワークで知りたいことありましたら、情報を整理して配信したいと思いますのでご連絡ください。