なぜ、パスワード付きzipファイルが廃止になるのか?

ニュースで、政府がパスワード付きzipファイルの送信を廃止すると聞いて、驚かれた方もいるでしょう。「自分の会社では普通に使っているのに……、セキュリティ対策として安全じゃなかったの? じゃあ代替案は?」など、不安や疑問を持たれた方も少なくないと思います。
パスワード付きzipファイルはなぜNGなのか

パスワード付きzipファイルはなぜNGなのか

そもそも、なぜパスワード付きzipファイルが廃止になるのでしょうか。

発端は、菅内閣で規制改革担当相に起用された河野太郎大臣がはじめた「デジタル改革アイデアボックス」。いわば「目安箱」のデジタル庁版ともいえますが、「パスワード付きzipファイルの添付廃止」は、ここに提案され、広い支持を集めました。

その後、2020年11月17日に、平井卓也デジタル改革担当大臣が「中央省庁の職員がメール送信時に添付するパスワード付きzipファイルを廃止する方針で検討する」と発表したのです。

パスワード付きzipファイルを添付するやり方は、以下の頭文字を取って暗にPPAP方式とも呼ばれ、

Password付きzipファイルを送ります
Passwordを送ります
An号化(暗号化)
Protocol(プロトコル)

・万が一メールを傍受されても、パスワードにより添付ファイルの内容が守られる
・宛先を間違えた際に、パスワードメールさえ送らなければ添付ファイルが開かれない

といった点から、安全性が高いと思われていました。

しかし結局、
・添付ファイル付きメールを傍受されるなら、パスワード記載のメールも同様に傍受される
・添付ファイルの有無に関わらず、宛先間違いを防止する対策は別途必要

といった理由から、パスワード付きzipファイルの有用性が疑問視されていました。

むしろ、平井大臣も、PPAP方式を「セキュリティレベルを担保するものではない」と伝えている通り、zipファイルはマルウェアの隠れ蓑となり、ウイルススキャン回避の手段に使われてしまうリスクも高く、実際にセキュリティ対策上、安全とはいえないのです。

しかもこのPPAP方式、ビジネスレベルで導入されているケースは日本だけ。少なくとも先進国では導入されていません。だいたい、送信するまでの手順も煩雑です。

そこでPPAPの廃止に伴い、今後、誤送信や情報漏洩のリスクが低い状態で、すなわちセキュリティレベルを担保しつつ、ファイルを共有するための対応策は何か、ご紹介したいと思います。
 

代替案1. セキュアなオンラインストレージサービスを使う

オンラインストレージを活用する(image:Nopparat Khokthong / Shutterstock.com)

オンラインストレージを活用する(image:Nopparat Khokthong / Shutterstock.com)

1つ目は、OneDriveやDropbox、Google ドライブ等のオンラインストレージ上にファイルを保存し、保存先のURLを相手に伝えることで共有後、ファイルをダウンロードしてもらう方法です。

主要なオンラインストレージサービスにはビジネスプランが用意されており、認証によるアクセス制限(ID認証、2段階認証、デバイス認証、シングルサインオン、IPアドレス制限等)やアクセスログ管理、ダウンロード制限(回数や利用期間の設定等)、アクセス権限設定等の機能によって、かなり強固なセキュリティ対策が施されています。

どうしても無料のオンラインストレージサービスしか利用できない場合は、URLが不特定多数に開示されてしまうと不正アクセスのリスクが高まりますので、アクセスできる期間を短く設定し、また、少しでも漏えいのリスクを感じたらURL自体を変更する、いったんURLの公開を停止するといった方法で、不正ダウンロードを防ぎましょう。

反対にファイル共有の機会が多い場合は、よりセキュリティ対策の充実したファイル転送サービスを検討するのも手です。
 

代替案2. チャットツールを使う

チャットでファイルを送信する

チャットでファイルを送信する

テレワークを機に普及したチャットツールを使って、ファイルを送信する方法もあります。

相手を指定してファイルを送信するやり方はメールと同じですが、チャットツールの場合、より相手が分かりやすく表示されており、直前のやり取りも見えるため、誤送信のリスクは低くなります。

また、万が一アップロード先を間違った場合でも、送信の取り消しが可能です。※送信取り消しの条件として、相手がファイルを開く前、あるいは一定期間内という制限が設けられていることもあります
 

「一時送信保留」で誤送信を防ぐ

メールソフトやメールサービスには、「一時送信保留」や「承認機能」といった、誤送信を防ぐ機能が実装されているものがあります。例えばGoogleのメールサービスとして有名なGmailでは、ブラウザからメールを送信する際に「送信取り消し」の時間を設定できます。

これは5~30秒の間で設定でき、例えば30秒に設定されていれば、送信ボタンを押してから30秒以内に限り、相手にメールが届く前に送信をキャンセルすることができます。メール送信直後にミスに気づいたときの保険として、設定しておいて損はありません。

▼Gmail「メールの送信または送信取り消し」の設定方法
https://support.google.com/mail/answer/2819488

そのほか、Gmailには「送信日時設定」など誤送信防止に役立つ機能もありますので、必要に応じて設定してみてはいかがでしょうか。

▼Gmail「送信日時設定」機能の設定方法
https://support.google.com/mail/answer/9214606

▼MicrosoftのOutlookにも、同様の機能があります
https://support.microsoft.com/ja-jp/office/メール メッセージの送信を延期または予定する

有料のメールサービスやオンラインストレージサービスの中には、「承認機能」を利用できるものもあります。例えば、送信者のメールが上長等による宛先や内容の確認を経て、間違いがなければ実際に宛先に送信される、といった流れになります。

二重チェックによる手間や時間、コストの問題がありますので、誰にでもお勧めできるものではありませんが、厳重な機密を扱うケースなどでは、導入を検討する余地があるでしょう。
 

とは言っても、PPAP方式をすぐにやめられない場合は……

メールという同じツールを使って添付ファイルとパスワードを送ることが、セキュリティを担保できない最たる理由になりますので、せめて「パスワードを送ります」の送信にメールを使うのをやめられないか、検討してみましょう。

代わりに、チャットツールや、金融機関等で導入されている二段階認証のように、携帯電話のSMSを利用するだけでも安全性の向上に繋がります。

業務によってもファイルの送受信ボリュームは異なると思いますので、手間や費用対効果を考えながら、対策を進めていきましょう。

【おすすめ記事】
これだけは押さえたい、中堅中小企業のテレワーク導入
Zoomを使って取引先とオンライン商談する際の注意点やポイント
パスワード付きzipファイルはメールで送らないほうが良い? 本当の問題は

※記事内容は執筆時点のものです。最新の内容をご確認ください。