人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

企業間でのパスワード通知の仕方について質問です。

IDとパスワードを別々のメールで送ればOK、という事例を見つけたのですが、
平文メールで送るなら、盗聴対策になってないし、誤送付対策だとしても効果があるのか疑問です。

もし、盗聴対策をしなければいけないとしたら、
メールでIDを送り、パスワードは別手段(FAXまたはTEL)で伝える、
としようと思いますが、もっといいやり方があれば知りたいです。

前提事項は、
・その情報のやり取りは、自社と取引先の企業間を想定
・パスワードをかけたい情報は中レベルの機密(手間かかるなら妥協できるレベル)
・パスワード通知の手段は、メール、FAX、TEL、手渡し
・1人の担当者で運用できること
とします。

(1)メールの盗聴対策は必須でしょうか?省略するのが現実的でしょうか?
(2)(1)の回答をふまえて、どのような対策をしたらいいと思いますか?

業務上での経験談や、シンプルなルールのご提案をお待ちしています。

●質問者: yanmaani
●カテゴリ:ビジネス・経営 インターネット
✍キーワード:FAX シンプル パスワード メール ルール
○ 状態 :終了
└ 回答数 : 4/4件

▽最新の回答へ

1 ● なぜなに
●23ポイント

http://allabout.co.jp/career/corporateit/closeup/CU20041128A/

セキュリティ対策でパスワードは定期的に変更する必要があるので、あらかじめPGPなどの暗号鍵ソフトやサービスで暗号鍵を会社のPCに設定しておき、暗号化したメールと他の方法で別々に送るのが理想的です。万一、忘れて聞いてくる場合も、暗号鍵が設定してあれば、再送付や鍵の更新が管理側から出来ます。多くの企業はこれだと思います。

しかし、直接の本人確認をしていずれか(IDまたはパスワードのみ)を直接手渡しという組み合わせができるのなら、その方が確実では?

尚、パスワードとIDや会社の名前等は絶対一緒に書かない・持たない様にして下さい。会社の便せん等に書いてしまうと、紛失した時に面倒ですから。


一番ユニークだったのは、某IT研究生に、紙ナブキンに水性ペンで書かれたゲストバスをもらい、「うちの研究室には今シュレッダーがないので、覚えたらトイレに流して下さい」という、シュレッダーよりもすごい機密対策があったことです。指紋認証の世界かと思ったら、意外にIDは各PCに保存されていました(..;)

そこまでしなくても、基本的には読んだら、覚えて、クロスシュレッダーしてから捨てるというのは基本のようです。

◎質問者からの返答

SMIMEの証明書インストールしたこともあるのですが、2つのファイルをインストールしたり、

インストールのためのパスワードもあったり、ダイアログに出てくる言葉も普段聞かない単語だったりして、

完璧なマニュアルがあったとしても、難しそうだからSEにインストールさせようとする人も結構いますし、

WEBメールやEXCELパスワードなどは1度使えばすぐ受け入れる人が多いのに対して、

SMIMEなどは、何回使っても抵抗感を示す人が多いように感じます。

PGPは技術的には素晴らしいと思いますが、一般の会社では、もっと低級なサービスの方が向いているような気がしてます。


2 ● tedmans
●23ポイント

>(1)メールの盗聴対策は必須でしょうか?省略するのが現実的でしょうか?

パスワード受け取った人が初回ログイン時にパスワードを変更するような仕組みであれば

特に問題になるケースは少ないけど、受け取った人の中にはそんな方法でパスワードを

送るのは問題だと指摘してくる可能性は高い


>(2)(1)の回答をふまえて、どのような対策をしたらいいと思いますか?

企業間でそれなりの機密レベルの情報開示のためのパスワードであれば管理職経由で

書留なりの郵送で相手企業の管理職へ送るのが適切だろうね

もし、管理者でない一人の担当者でするのであればそんな方法であれ必ず管理職に

その方法について説明し、助言を受け、認めてもらってから行うこと

でなければ担当者が責任を負うことになってしまう

逆に言えば管理者が認めたなら平文のメールでパスワードを送ることは何の問題も

無いことになるね



http://q.hatena.ne.jp/1212341948

◎質問者からの返答

会社のポリシー次第というのはごもっともでございます。


3 ● b-wind
●22ポイント

(1)メールの盗聴対策は必須でしょうか?省略するのが現実的でしょうか?

何らかの対策はすべきでしょう。

最近は盗聴だけでなくウィルス等による情報流出とか厄介ですし、

適切なセキュリティ対策は企業の信頼にもつながります。


ただ、方法については情報の重要度によって使い分けるべきでしょう。

過度な対策は双方にとって面倒なのでそのうち実施されなくなります。

今回の件では手渡し or 口頭での伝達で十分だと思います。

TEL での伝達での電話盗聴の可能性は微妙なところですが。


状況によってはIDの送付時点から対策をとる必要があるかもしれませんが、

その場合はメール自体を暗号化してしまうなどの方法が考えられます。

S/MIMEでセキュアな電子メール環境をつくる!

◎質問者からの返答

厳しすぎない対策は大事ですよね。

TELの外部からの盗聴は気にしてないですが、実際にTELでパスワードしゃべると、

内部の人に聞こえてしまうので、そこで気を使ってしまうような気がします。


4 ● tedmans
●22ポイント

TELの外部からの盗聴は気にしてないですが、実際にTELでパスワードしゃべると、

内部の人に聞こえてしまうので、そこで気を使ってしまうような気がします。

電話で伝える場合は伝えたその場で相手に自分でパスワードの変更までしてもらうといいよ

他の人に聞こえてしまってもそれはすぐに変更されてしまうので気を使わなくて済むからね

でもパスワードとIDに法則性(例えば社員番号がIDで生年月日がパスワード)があったら

それが他人に聞こえてしまったら他のIDで攻撃される機会を与えてしまうのでパスワードは

初回のみのものであっても規則性を持たせるべきではない


http://www.ipa.go.jp/security/fy14/contents/soho/html/chap1/pass...



FAXは絶対に駄目だね

誤送信もあるしたまたま見てしまう人も含めて受け取る人が特定できないしFAXの中に

データが保存されるタイプだったら受け取ったあとでも漏れる可能性はある

FAXを送る方でも送信したファックスは保存されていることもあるし、業務外の利用を

監視する目的で(無作為に)送った物を調べられるようにしている所もある


メールで送るのは暗号化したデータか、個別に与えられたSSLで保護されたサイトへの

URLを送ってそこにパスワードを書いておくとかしないとね


でも、可能なら手渡し(見せてその場で記憶)が一番いいよ

関連質問


●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ