先日、中央官庁でパスワード付きzipファイルによるメールでの添付ファイルの送信を廃止する旨の発表がありました。

それに伴い、プライバシーマーク制度を扱っているJIPDECなどもパスワード付きzipファイルでのセキュリティ対策を推奨しないことを発表するなど、情報セキュリティ・個人情報保護の世界にかなりの衝撃が走っています。

 

無駄を省く意味では画期的な発表でもあります。

 

そもそも多くの会社で使われているこのセキュリティ対策ですが、下記のような流れになります。

①添付するファイルを､適当なパスワードを使って暗号化したZIPファイルに変換する。

②zipファイルをメールに添付して送信する。

③続いてそのzipファイルのパスワードをメール送信する。

 

企業のセキュリティ基準にも明記されているものとなるので、「効果あるのかな？」と思いつつも、毎日行っている方も多い人もいるのではないでしょうか。

 

この画期的な発表により、今後会社でのメールでの情報送信はどのように変わってくるのでしょうか。

添付ファイルはどんなものであっても、そのまま送ってしまって大丈夫？？それとも昔に戻って紙やCD-Rなどを郵送する？？

今回はパスワード付きzipファイルの扱いについて、書いてみたいと思います。

 

【なぜ、パスワード付きzipファイルを廃止するのか】

河野太郎大臣がはじめた「目安箱」のデジタル庁版「デジタル改革アイデアボックス」は、広くデジタル化への意見やアイデアを広く募っているものとして注目を集めています。

「パスワード付きZIPファイルの添付廃止」の廃止のキッカケはこちらでの提案であり、そこから平井デジタル改革担当大臣の発表にいたります。

 

 

暗号化した添付ファイルを送って、その直後にパスワードが来るPPAPと言われる日本特有のメールの悪慣習。
セキュリティ上も意味がないと言われているし、管理を煩雑にしている。
行政はPPAPをやめるとともに、PPAPメールは受け取らないとしたらどうか。

※デジタル改革アイデアボックスPPAP(暗号化zipの添付廃止)から引用

 

廃止の理由として、下記を挙げています。

• zipファイルのパスワードの扱いは、セキュリティレベルを担保するための暗号化ではない
• 押印廃止と同様に「今までやってきたからみんなやって」ことにすぎない。
• スマホでメール内容を確認できないのも致命的

廃止の会見時に「パスワード付きzipファイルに代わる新しい手段については、デジタル改革アイデアボックスで募集したい」とも話をされていました。

 

それ以外にも下記のような懸念事項が考えられます。

• 誤送信の対策として意味がない　※最近はパスワードが自動送付されるツールも多く意味をなさない
• セキュリティの対策として意味がない　※パスワード自体は10桁程度であればフリーソフトによる総当りで開いてしまうため
• クライアントへマルウェア付きの添付ファイルを送ってしまった場合、暗号化されるためスキャンができず素通りしてしまう　※最近流行っているemotetで悪用されており、後続のicedIDでも添付ファイル暗号化が確認されている

 

ではこれらについて解説を加えて行きたいと思います。

 

情報セキュリティ上、意味のない作業

添付ファイルを暗号化すること自体は情報セキュリティ上有効なものではあります。

1つ付け加えると暗号化を解除するパスワードはメール以外の方法で相手に渡すことが出来てようやく担保されることです。

 

ですが、「同じメールで続けてパスワードを送る」ことは、「メールは盗聴される可能性があるので危ない」ので、実は何の意味もないこと作業になっているのです。

企業における情報セキュリティ・個人情報保護の意識の向上により、メール暗号化の一種であるS/MIMEの方式などはなかなか手間もかかり大変なものでもありました。

 

そんななか、多くの企業で採用されたのが、「誤送信対策上有効である」と推奨されてきた「パスワード付きZIPファイル」になります。

これはプライバシーマークの審査機関でも推奨されるリスク対応策として認知され、プライバシーマークを取得している企業の多くで実施され、実施されていない場合は指摘されたりもしていました。

 

JIPDECの突然の発表

プライバシーマークの認証機関でもある一般財団法人日本情報経済社会推進協会（JIPDEC）が「パスワード付きファイルのメール送信は以前から推奨していない」と突然見解を公表しました。

 

 

※一般財団法人日本情報経済社会推進協会（JIPDEC）からの公表文引用

これは画期的な発表でもありますが、多くの審査においては「パスワード付きZIPファイル」を行うことを審査で指導していた実情もありますし、推奨していないにしても行っているプライバシーマーク取得企業に対して、「推奨していない」旨をこれまで一度も話をしていなかったことは、少し無責任だと考えます。

 

 

※情報サービス産業協会審査基準から引用

 

実際に一部のプライバシーマーク審査機関では上記の23条に記載の通りで、「個人情報を含む添付ファイルにはパスワードの設定などの措置を講じること」と審査の基準にも記載されています。

JIPDECにはプライバシーマークの認証機関として正しい指導をしてもらいたいところです。

 

添付ファイルのセキュリティチェックのすり抜け

最近、EMOTETやIcedIDと言ったマルウェア(ウイルス)が世間を賑わせ、猛威を奮っています。

これらのマルウェアは添付ファイルに身を潜め、受信者に添付ファイルを開かせることで感染するのですが、「パスワード付きZIPファイル」で送られてくることも多いのです。

 

パスワード付きZIPファイルはパスワードがないと開くことが出来ないのは当然のことです。

そのため、ウイルス対策ソフト等によるチェックが効かずマルウェアが仕込まれた添付ファイルを受信していしまうリスクが高まってきます。

 

欧米などでは「パスワード付きZIPファイル」をブロックしている状況も増えてきています。

日本でもfreeeがパスワード付きファイルのメールを受信拒否を公表しています。

※freee株式会社によるプレスリリースから引用

業務効率の低下

「パスワード付きZIPファイル」は送信者・受信者ともに作業への負担をかなり多くします。

1か月手作業でパスワード設定やメールを送信する行為をすることで5時間～6時間時間を使ってしまう。という見解もあります。

 

また、スマートフォンでは「パスワード付きZIPファイル」を開くことにも一苦労するため、現代の仕事の仕方には合っていない可能性も高いと言えます。

 

 

これからの電子ファイルの送付方法

では、今後はどのように電子ファイルを送付することになるのでしょうか。

下記のような方法が考えられます。

メール以外の手段でパスワードを伝える

従来通り。パスワードロックはしつつもパスワードは別手段で送付する。これは従来通りの手段である意味一番安全かもしれません。

ショートメッセージ、電話、チャットツールなど、メールとは別の手段でパスワードを伝える形です。

事前に示し合わせていれば、都度変える必要もないかと思います。

ですが、上述した「パスワード付きZIPファイル」を受信拒否する企業に対しては無意味なものです。

 

別のコミュニケーションツールの利用

最近はチャットワークやslackと言ったチャットツールがメールに代わるコミュニケーションツールとして利用されています。

こういったものでファイルを送付することに完全切り替えることも1つです。

ツール内は暗号化もされており、安全でもあると言えます。

 

オンラインストレージの利用

box、GoogleDriveと言ったオンラインストレージを使い、ファイルのリンクを送ることも1つの手段になります。

この方法でもやり方はいろいろとあります。

共有ストレージの作成

送り先とファイルを共有するフォルダを作っておき、送付を目的とするファイルのリンクを送る形です。

この方法ですと万が一メールを誤送信してしまったとしても、共有フォルダにアクセスする権限がなければファイルを開くことも出来ないので安心です。

ファイル送付用サービスの作成

もう1つはファイル送付に特化したサービスの利用です。

以前からファイル容量の多いものを送る時に使われていたものを常時利用に転用する形です。

 

そのまま添付して送る

極論かもしれませんがZIPも何もせずそのまま送る形です。

EMOTETやIcedIDといったマルウェアが流行している現状ですとウイルス対策ソフトなどで検査が行われる添付ファイルの方が安全ある可能性が高いという考えです。

「パスワード付きZIPファイル」を受け取り拒否する会社が増えつつある状況ですと、さほど機密性が高くないファイルはそのまま送ることも安全かつ確実かもしれません。

 

まとめ

意味があるのか。と悩みながらやってきた「パスワード付きZIPファイル」ですが、今回のデジタル化の流れの中で身近なところが大きく変わった。と思われる方も多いのではないかと思います。

ですが、これまで長年やってきたことにもなるので、いきなり廃止となると戸惑い、不安も多いのではないかと思います。

自分の会社ではどうすべきなのか。など悩まれる方はぜひご相談ください。

 

関連記事：PPAP形式とは何か