和歌山のプログラミング・システム開発ならシステムキューブ
日本年金機構の情報漏洩は不用意に悪質な添付ファイルを実行してしまったことによるものです。
メールは送信者の欄をいくらでも偽装できるので、送信者の欄だけをみて正しい送信元かを判断することは簡単ではありません。
メールヘッダという部分を理解して見れば偽装がわかっても、誰もがメールを受信してまずメールヘッダをみようとは思わないはずです。
送信元をしっかりと把握でき、経路の暗号化を行ったファイル転送というと、クラウドストレージGoogle Driveでのファイルの限定共有が一つの選択肢として挙げられます。
Google Driveのファイルやフォルダは、全体公開でなければ、一意のGoogleアカウントからの共有という形で通知されるのでこれを偽装することは難しいです。
共有元のメールアドレスまできっちり確認すれば、相手先が乗っ取られていない限りは正しい送信者であることが確認できます。
この方法が問題になるのは、まず社外のサーバーにファイルが置かれることです。これを社内規約として禁じている組織は多くあるはずです。
ただ社内サーバーでも今回のようなセキュリティ事故が発生しますので、社内なら大丈夫という前提は確かなものではありません。
誤って全体公開にしてしまうリスク、あるいは米国政府によって開示を求められた場合はGoogleも提出を余儀なくされるなどがあるので、政府機関でこれを全面的に採用するのは難しいでしょう。
組織外とのファイルの送受信はこれだという決め手は難しいところはあります。
電子メールでも電子署名を利用すれば、送信元の確かさを証明することができます。
あるいはPGPなどの公開鍵暗号を利用すれば、お互いのファイルの暗号化と発信元の確かさを保証することができます。
これらの手段を使っていない場合、電子メールは送受信の暗号化にも乏しく、発信者の確認も簡単ではない手段であることをまず意識するところからセキュリティ対策を始める必要があります。