くらめその情シス“技”:メールへのファイル添付について考える from Developers.IO

クラスメソッドでIT推進室室長を務める植木氏。社内ツールやサービスの導入、見直しをする情シスの親分ともいえる存在。そんな植木氏のクラスメソッドでの取り組みを紹介する「くらめその情シス”技”」。一人情シスやゼロ情シスで頭を抱えている情シスさんのヒントにしてはいかがでしょうか? 今回はクラスメソッドにおけるメールへのファイル添付、お客様へのファイル送受信環境についてご紹介いたします。


くらめその情シス“技”:メールへのファイル添付について考える

メールへのファイル添付については「パスワード付きZIPを添付して、別メールでパスワードだけ送る」というのが日本企業では慣習になっています。 弊社でも長らく同様の方法で運用しており、昨年若干の運用変更は行いましたが現在もほぼ変わりません。

「パスワード付きZIP+パスワード別便」については、過去何度も「意味がない」という意見がインターネットで取り上げられていることは承知していますし、私自身もこれをどうにかしたい気持ちは多々あります。 しかしながら、諸々の事情を考えて、令和という新時代になった現在でもこの運用は続けています。

社内からも問い合わせも多い本件について、諸々の事情を共有させていただければと思います。

 

メールへのファイル添付について方式と問題

Active! gate SS

クラスメソッドでは Active! gate SS (以下ActiveGate)というサービスを利用して、メールに添付されたファイルを送信しています。

ActiveGateはGmailの送信メールサーバーとして指定することで、メールに添付されたファイルを暗号化ZIP化する仕組みです。

添付ファイルの暗号化以外にも下記のような機能を持ちます。

  • 送信メールの一時保留
  • 送信遅延
  • 承認作業後にメール送信
  • 添付ファイルのWebダウンロード

2018年までは「ファイルを暗号化ZIPして再添付」+「パスワード別便」という運用を行っていましたが、昨年「添付ファイルを切り離し」+「パスワード別便」という方法に変更しました。 受信者はメールに記載(ActiveGateにより自動挿入)されたURLにアクセスし、パスワードを入力してZIPファイルをダウンロードします。(ZIPファイル展開時には再度パスワードが必要)

これは誤ってファイルを送ってしまった場合に、あとからファイルのみアクセス不可にすることで誤配信による影響を小さくするためです。 またWeb画面でダウンロード数も確認できるため、受信者がそのファイルをダウンロードしたかどうかも確認できます。

 

Webダウンロード方式の課題

この方式でメリットもあるのですが、運用開始後に問題も報告されています。

  • Webダウンロードの期限が1週間のため、再送を依頼する問い合わせが増えた
  • 企業によってはアクセスを許可するドメインとしてホワイトリストに登録する必要がある
  • インターネットからのファイルダウンロードが制限されている企業もある

 

そもそも暗号化ZIP+パスワード別送ってどうなの?

昨年末に次の記事が周囲で話題になりました。

この記事でいわれている問題(見出し)を抜粋します。

  • 1.後続メールでパスワードを別送しても、セキュリティはほぼ向上しない
  • 2.自動で即時に「後続メールでのパスワード別送」を行えば、誤送対策にもならない

・・・・わかる。まぁぶっちゃけ意味ないですよね。

ただ自分なりにいろいろ考えて、いまの方式に落ち着いてます。その理由をQA形式でまとめてみたいと思います。

 

Q. PGPやS/MIMEは使わないの?
PGPを使うのは難しいです。ツールの操作方法の話でなく、世間に浸透しておらず運用にのせることの難しさです。 私も社会人になった20年ほど前にPGPを知って鍵を作り、署名欄にフィンガープリントを記載していましたが、仕事で使うことはまずありませんでした。 20年経っても浸透していないので、今後も広がるとは思えません。

PGPの利用を難しくしているのは次の点だと思います。

  • そもそも相手がPGP、S/MIME使っていない(過去6年の受信メールでS/MIME利用企業数は3社でした)
  • 多人数にファイルを送るとき暗号化どうする(メーリングリスト含む)
  • 受信者の公開鍵をどうやって安全な経路で受け取るか(信頼できるサイトで公開鍵を配布してるなら

Q. Boxとか外部ファイル共有サービスを利用すればいいのでは?
コストの問題です。

クラスメソッドの350人規模でBusinessプラン(SSO)だと年間800万くらいかかります。ActiveGateだと年間80万円ほどなので10倍です。

またBoxはファイルストレージなので、社内のGoogle Driveとの使い分けを誤ると「最新のファイルがどこにあるか分からない」という問題がでかねません。 ActiveGateは一時的な置き場ですし、自動的にファイルも削除されるので、この問題が起こらない点が良いです。

あと「共有サービスにファイルをアップロードする」→「共有URLを取得する」→「メールでURLを伝える」とか、「共有サービスにファイルをアップロードする」→「メール宛先をコピペして送信する」→「元メールで送った旨を伝える」って作業が個人的に手間に感じます。

メール添付だと普段のやりとりの中で送りたいファイルをドラッグ&ドロップするだけなので作業的に楽だなと思ってます。

Q. Google Drive使えばいいのでは?
Google Driveはクラスメソッド社員以外からは利用不可になっています。

「オンにしたら?」という意見もあるかと思いますが、社員が共有設定を誤ると社内資料が漏洩しちゃう事故に繋がり兼ねず。そこを統制とれる手段が思いつかずオフにさせてもらってます。

Q. ファイルを送るのはいいけど、受け取りはどうしたらいい?
お客様からファイルを送る手段については、お客様側の責任範囲になっています。クラスメソッド側でファイルを受ける仕組みは全社的に用意していません。

ただ数GB以上の巨大なファイルを送りたいって要望があるのも承知しています。が、特定の部署やプロジェクトが対象なので個別にS3など使ってもらってもらっています。

Q. そもそも添付ファイルの暗号化やめたら?
そうですね。そもそもメール本文は暗号化されてないわけなので、添付ファイルのみ暗号化する意味ってないですよね。

ただ当社のメンバーズサービスを例にとると、お客様からの申し込みに対してこちらからログイン情報を送付していています。お客様によっては「暗号化施策もなしに機密情報を送ってくる会社」と思われてしまうのもアレなので、無難な方に合わせた方がいいかなと思ってます。

Q. やっぱりコストかけてファイル共有サービス利用するしかないのでは?
ですよねぇ

ファイル共有/転送サービスって本当にたくさんあるので、一つ一つ検証してマッチしたの探すのも結構たいへんなので気長にお待ちください。

 

最後に

メールへのファイル添付について私見をまとめました。

今回の内容に異論、反論がある方はいると思います。その際はぜひご指摘(やさしいアドバイス)をいただければと思います。

個人的には、「メールをやめてSlack/ChatworkなどのチャットやBacklogなどのITSを活用しましょう!」 と言いたいところです。

しかしながら、メールをやめるのは「パスワード別送」をやめるよりきっと難しいですよね。
この悩みはしばらくは尽きません。


植木和樹(うえき・かずき)

クラスメソッド株式会社IT推進室室長。IT推進室は2017年7月に正式に開始された部門であり、情シス・経理・労務・営業・マーケといった部門にツールやサービスを展開し、業務を見直すことで効率的な事業・業務が行えることを支援している。

個人としては、WEB黎明期よりホームページ制作やシステム開発に従事する。長らく新潟で製造向けの社内システムの保守運用を行ってきたが、2008年の不況のあおりを受け退職。どうにか地元でITの仕事ができないかという思いでクラウドに興味を持ち、ツイッターで募集していたAWSエンジニアの採用に応募して、現在に至る。

業務の傍ら、月間200万PVを超えるBlog「Developers.IO」にも執筆を行う。

 

関連記事

カテゴリー:

ナレッジ情シス仕事術

情シス求人

  1. チームメンバーで作字やってみた#1

ページ上部へ戻る