履歴書を応募企業にメールで送る時、どうやってセキュリティを担保すべきか?
掲載日:
転職・就職活動をしていると、応募企業から履歴書のメール提出を求められるケースがあります。しかし、履歴書は名前や住所などの個人情報を含む重要なもの。メールにそのまま添付して送るのも不安です。そこで、履歴書を送る際に「しておくと安心」な対策を、セキュリティーライターの宮田健氏に解説していただきました。
履歴書のメール提出を求められた時の対応方法は?
結論から言うと、転職者が履歴書の送付を求められた場合は、まずは、人事担当者など先方に確認を取り、先方が望む方法でファイルを送ることをおすすめします。
確認方法の例文
履歴書・職務経歴書の送付について、承知しました。
念のため、お送りする方法につきまして、
(使用するクラウドサービス・詳細後述)にアップロードして共有する方法で
問題ございませんでしょうか。
もし、ご指定の方法などございましたら、お知らせくださいませ。
※相手の指示を待つだけでなく、こちらからも方法を提示すると、
受け身の印象を与えず、自身のセキュリティ感度を伝えられるのでベター
おそらく、メール添付という形ではなく、Webブラウザからファイルを送信するようなものが用意されているのではないかと思います。この場合、「HTTPS」というプロトコルで情報が送受信されるため、盗聴、なりすましは難しく、安心して情報のやり取りができるでしょう。
ここで「パスワード付きZIPファイルで送信+パスワード別送の方法ではダメなの?」と疑問に思う方もいるかもしれません。次章からは、2021年5月時点で安全とされている方法について詳しく解説していきます。
パスワード付きZIP+パスワード別送はダメ?
最近はIT業界を中心に「PPAP」が注目されています。といっても、国内外で盛り上がったピコ太郎さんのペンパイナッポーアッポーペンのことではありません。一般財団法人日本情報経済社会推進協会(JIPDEC)に所属する大泰司章氏が名付けたプロトコルで
- Password付きZIP暗号化ファイルを送ります
- Passwordを送ります
- Aん号化(暗号化)
- Protocol
の略です。
何らかの重要情報をメールを使って送る際のより安全な方法を模索するうちに、なぜか当たり前に使われるようになった方法で、なじみのある方も多いでしょう。マイナビ転職でも、過去にこの手法をマナーとして紹介する記事を掲載していました。
しかし、これまでITセキュリティを見てきた方々は、口をそろえてこのやり方は無意味だと述べています。一体なぜ、暗号化しているのにダメなのでしょうか。まずはこの手法の問題点を考えてみましょう。
その昔、メールの情報を送受信する際には、メール本文などの情報が暗号化されていませんでした。そのため、ツールを使えばかなり容易に「盗聴」が行えてしまう状態でした。現在ではさまざまな方法の暗号化手法があるため、以前に比べれば経路そのものを盗聴することは難しくなりましたが、それでも「メールは盗聴のリスクがある」という前提で考えたほうが良いでしょう。
そうすると、1通目にパスワード付きのZIPファイルを添付し、2通目でパスワードを送ると、その両方が盗聴される可能性があることになります。パスワードをメールという同じ経路で伝える事は、セキュリティ上ほとんど意味がないと考えるべきなのです。
もちろん、誤送信対策という意味ではパスワードが別送されなければファイルを開かれることはないのですが、1通目を誤送信すれば2通目も誤送信してしまう可能性は高いでしょう。また、セキュリティとは違う視点になりますが、最近はスマートフォンでメールをチェックする人も増えているなか、パスワード付きZIPファイルだとスマートフォンでは開けないという不便さもあります。
これらを考えると、パスワード付きZIPファイルとパスワード別送というスタイルは手間がかかるわりには安全性が担保されていないということが分かります。これは「やったつもりのセキュリティ」であり、私たちは対策をしているというアリバイを作るための「免責のセキュリティ」をしているとも言えるのではないでしょうか。
更に、最近のサイバー攻撃の手法も考えなくてはなりません。過去に猛威を振るった「Emotet」というマルウェアは、当初は単純に悪意あるマクロ付きの文書をそのまま添付していました。後に攻撃者は日本の企業の運用に合わせ、パスワード付きZIPファイルとパスワードを送ってくるようになります。
多くの組織はメールセキュリティ対策として、添付されたZIPファイルをサーバー上で展開し、それが危険でないことをチェックする仕組みを用意しています。しかしパスワード付きZIPファイルだと、導入しているセキュリティソリューションでは展開できないため、チェックをすり抜けて従業員に届くことになります。
その意味でも、パスワード付きのZIPファイルをやり取りすることはリスクが高いと考えて良いでしょう。実はパスワード付きZIPファイルはマルウェアの隠れみのとも認識できる、攻撃者にとっては便利な形式なのです。
完全在宅勤務・
フルリモートワークの求人
通勤がつらい!
出社しなくても仕事ができる求人を紹介!
毎月25万円以上は欲しい!
固定給25万円以上の求人をまとめました。
賞与5カ月以上!
賞与・ボーナス5カ月以上の求人をまとめました。
「安全で正しい方法」はクラウドストレージサービスの利用?
では、暗号化ZIPファイル以外で、手軽に、それなりに安全に情報をやり取りする仕組みはどういったものになるのでしょう。今回はDropboxやGoogleドライブ、OneDriveといったクラウドストレージサービスを活用する方法を紹介しましょう。
クラウドストレージサービスとは、インターネット上にファイルをアップロードして、発行されたアクセスURLを必要な相手に伝えることでファイルを共有できるというもの。多くの場合は共有相手のメールアドレスを指定し、そのユーザーだけにファイルを共有できるのです。メールアドレスを所有している人にだけファイル閲覧権限を渡せるため、誤送信や盗聴への対策が可能。これが現在、最も推奨できる方法と言えるでしょう。
マイナビ転職からのPOINT!
ただし、これらの方法は送り手・受け手共にサービスへの登録が必要になるケースが多いです。となると、問題になるのは「相手がアカウントを持っているか」「その企業がアクセス可能なクラウドストレージサービスか」という点。両方を確認しないと、人事担当者が応募者から履歴書を送られても開けず、再度送り直しに…… となってしまう可能性があります。そこで、前述のとおり、ファイルを送る前に相手に「どのクラウドストレージサービスを使って送るか」など、方法を確認することが重要になるわけです。
相手がアカウントを作らなくてもファイルを受け取れる方法としては、Dropboxの機能「Dropbox Transfer」や、GigaFile便などのサービスが挙げられます。これらはアカウントを持っていなくても個別のURLを開くだけでファイルを受け取ることができますが、閲覧権限をメールアドレスで指定できないため、万が一URLを記載したメールを誤送信してしまった時に、意図しない相手に情報が見られてしまうリスクがあります。(「Dropbox Transfer」は添付資料が閲覧された時、ダウンロードされた時に通知が来るサービスもあり)
Dropboxの有料版を使っている場合、転送するファイルのダウンロード回数や有効期限を設定できますので、もし誤送信してしまったことにすぐ気が付くことができれば、有効期限を即座に切ることでそれ以上の情報漏えいを防ぐことができるでしょう。もちろん、共有時にパスワードを設定することもできます。
これらを活用し、有効期限を短めに設定し、ダウンロード回数/閲覧回数をしっかりチェックしておけば、情報漏えいが起きていないことを確認できます(ただし、盗聴されて攻撃者が即座にリンクを開こうとした場合には無力ですので、本当にセキュリティを考えた場合は、最初に紹介した相手を指定した共有方法をおすすめします)。
どのクラウドサービスを使う場合も、規約や運営元の確認は忘れずに。また、そのほかクラウドストレージサービスの共有機能においても、相手がダウンロードしたことを確認した後や、しばらくたって共有が不要になったタイミングで共有設定をオフにするなども、安全に活用するためのちょっとしたテクニックです。
完全在宅勤務・
フルリモートワークの求人
通勤がつらい!
出社しなくても仕事ができる求人を紹介!
毎月25万円以上は欲しい!
固定給25万円以上の求人をまとめました。
賞与5カ月以上!
賞与・ボーナス5カ月以上の求人をまとめました。
応募企業からパスワード付きZIPの方法を指定されたらどうする?
ここまで「安全な方法」を紹介してきましたが、企業、また部署や担当者によってもセキュリティ意識はさまざま。まだパスワード付きZIPファイルとパスワード別送の方法が全社的なルールとされている企業や、「メールマナーの一部」と考えている人も一定数いるのが実情です。また、クラウドサービスの利用が禁止されている企業もあると聞きます。
よって、企業に方法を確認した結果、暗号化ZIPファイルを添付しパスワードを別送するように指示されることもあるでしょう。そのような場合は、まずは、人事担当者の回答が応募企業のセキュリティ実態を表していると受け止め、自身の応募意欲が変わらないかを確認してください。
そのうえで入社したいのであれば、指定された方法に従うのが無難でしょう。セキュリティに詳しい方であれば、あまり安全ではない手法や、無意味な手法を取ることは避けたいかもしれませんが、正論を語ったところで、相手を困らせてしまうだけになるかもしれません。
どうしても自身の個人情報をやりとりするにあたり不安があるということであれば、パスワードはメール以外の方法で先方に伝えるようにしてください。電話やFAXで伝えれば、たとえメールが盗聴されていたとしても個人情報が漏えいするリスクは下がるからです。
応募企業のセキュリティ体質が気になるなら……
勤め先のセキュリティ意識やIT感度は「仕事のやりやすさ」「納得感」にも大きく関わるところです。履歴書の送付方法はいったん指示に従いつつも、もし不安を感じたなら、面接で応募企業のIT環境やセキュリティ意識を確認しておくと安心かもしれません。
聞くタイミングとしては、面接の最後に「何か質問はありますか?」と面接官から聞かれた際に切り出すのが無難。「御社のセキュリティ対策はどのような体制や方針なのでしょうか」「個人情報を扱う際は、どのような取り決めがあるのでしょうか」など、角が立たぬ範囲で質問をしてみるといいでしょう。
より詳しく、具体的に聞きたければ、私ならば「万が一マルウェアが従業員に届いた時、どのような対応フローが用意されているのでしょうか」と聞いてみます。情報システム部やセキュリティ対策部隊ではなく、従業員が相談できる窓口が存在していれば、その企業はかなりしっかりとした対策が取られていると考えることができるでしょう。組織が取り得るメール誤送信対策はパスワード付きZIPファイル以外にも、送信を一時保留する仕組みや、上長が承認しなければ外部にメールが出せない仕組みなど、さまざまな手法が取られています。
「ウチは小さな企業だから何も重要な情報はない」という経営者もいるかもしれませんが、攻撃をする側にとっては、そういった小さな企業こそ、大企業への攻撃のための踏み台として格好の標的です。インターネットにつながるすべての企業が、公衆衛生を向上させることと同じように、ITセキュリティを考えなくてはなりません。
「履歴書をメールで送る時にどうすれば安全なの?」という点に疑問を持ったならば、もうあなたも立派なセキュリティ人材と言えます。ぜひそこから、いろいろなことに疑問を持ってみてください。ITセキュリティやリスクに関心があることは、社会人としてさまざまなシーンできっと役に立つはずですよ。
完全在宅勤務・
フルリモートワークの求人
通勤がつらい!
出社しなくても仕事ができる求人を紹介!
毎月25万円以上は欲しい!
固定給25万円以上の求人をまとめました。
賞与5カ月以上!
賞与・ボーナス5カ月以上の求人をまとめました。
宮田健(ライター)
SE、IT系メディア編集者の経験を生かし、現在はIT系メディアでセキュリティに関する連載記事を執筆。テーマパーク情報のライターとしても活動。
マイナビ転職 編集部
豊富な転職・求人情報と転職ノウハウであなたの転職活動を支援する【マイナビ転職】。マイナビ転職は正社員の求人を中心に“日本最大級”常時 約8,000件以上の全国各地の豊富な求人情報をご紹介する転職・求人サイトです。毎週火・金更新であなたの希望の職種や勤務地、業種などの条件から検索することができます。職務経歴書や転職希望条件を匿名で登録するとあなたに興味を持った企業からスカウトされるサービスや、転職活動に役立つ職務経歴書サンプルや転職Q&A、会員登録をすると専門アドバイザーによる履歴書の添削、面接攻略など充実した転職支援サービスを利用できる転職サイトです。