秘密分散 フォー メール
サイズの大きなファイルのデータを圧縮できるZIP。定番圧縮ツールのZIPファイルを送付する際、パスワードを設定できる機能、いわゆる「暗号化」を利用しているユーザーがほとんどです。しかし、暗号化の強度に不安を抱く方も多いのではないでしょうか?
この記事では、ZIP暗号化の強度や設定方法についてや、メリット・デメリット、パスワードの解析方法やつけ方まで詳しく紹介していきます。
ZIP圧縮ファイルをより安全に利用するためにも、ZIP暗号化の特長、安全性について理解しておきましょう。
※本記事に掲載している情報は2024年9月時点のものです。
目次
秘密分散 フォー メール
カンタン・便利なのに高いセキュリティ
Outlookメールでの情報漏えいリスクを防ぎます。
ファイルサイズを縮小できるZIPは現在主流となっている圧縮形式の1つで、拡張子は「.ZIP」です。Windowsだけではなく、MacOSやLinuxなど多数のオペレーティングシステムで利用できるため、ネットワーク経由で送付および拡散する際に幅広い分野で使用されています。
ZIP暗号化は共通鍵暗号方式の原理により、暗号化・復号化を1つの鍵によって実行します。正しく使用されれば正常に復元できるZIPですが、本来の受信者ではない第三者に鍵を知られてしまうと誰でも復号化が可能になり、暗号化の意味が失われてしまうこともあります。
また、ZIP暗号化方式の種類や使い方によって強度が異なるため、情報漏えいリスクに備えるには、ZIP暗号化について理解を深めることが重要です。
日常的に利用されている便利なZIPファイルの暗号化ですが、安全性について疑問視する声もあります。
パスワードを知らなければ解凍できませんが、圧縮パッケージファイルを開けばファイル名やファイルタイプ、変更時間など閲覧可能であることから、ZIP圧縮形式での暗号強度は低いと指摘されているためです。
では、ZIPファイルの暗号化について詳しく見てみましょう。
ZIPファイルには、AES とStandard ZIP 2.0(ZIPcrypto)の2種類の暗号化方式が使用されています。AESの方は強度が高い方式とされていますが、幅広いOSでカバーされているため使用されるシーンが多いのはStandard ZIP 2.0です。
互換性の高い標準の暗号化方式ZIPcryptoは初心者向け、Standard ZIP 2.0よりも強力なAESは漏えいリスクに備える場合におすすめです。
AES(Advanced Encryption Standard)暗号化とは、アメリカ政府が標準で使用している高度暗号化技術です。
ビット数が異なるAES128とAES256の2種類のAES暗号化があり、暗号化鍵の短いAES128はスピーディーな圧縮・解凍が可能、対するAES256は、AES128より時間を要するため安全性レベルを向上させることができます。
いずれにせよ、Standard ZIP 2.0より高い強度がありますので、セキュリティ面を重視する場合はAES256の暗号化方式がおすすめです。
Standard ZIP 2.0暗号化は、古くからサポートされている暗号化技術で、ZIP圧縮ファイルを簡易的に暗号化します。
AESに比べるとセキュリティ面に脆弱性があり、簡単に解析されてしまう点がデメリットです。よって、安全性の高さを重視する場合には、AES暗号化の使用を推奨します。
ほとんどのZIPソフトでサポートされているStandard ZIP 2.0暗号化は、使いやすく個人ユーザー向けといえます。パスワード解析ツールを使えば簡単にパスワードがわかってしまうため、高いセキュリティレベルを望むことはできません。
機密性が低く、互換性を重視する場合に使用するとよいでしょう。
暗号化はセキュリティを高める手法として広く利用されていますが、その安全性には限界もあります。暗号化はあくまで現在のコンピューターの処理能力を前提とした対策です。複雑なパスワードの解析に一般的なPCであれば数年〜数十年以上の時間を要するため、データの漏えい防止対策となっています。
しかし、PCに詳しい方なら個人でも活用できる、並行処理や分散処理といった手法を用いると、PC1台の数百〜数千倍の処理スピードでのパスワード解析が可能です。
また、量子コンピューターという、従来のコンピューターとは異なる原理で構成されたコンピューターも開発されています。量子コンピューターならば、スーパーコンピューターが数万年〜数億年かかるような膨大な計算を数分で行ってしまいます。
量子コンピューターはまだ研究段階であり、一般ユーザーが手にすることはできませんが、仮に量子コンピューターが一般化した場合は、暗号化はセキュリティ対策として意味をなさなくなります。
このようなコンピューターの計算技術の発展に伴い、計算技術を前提としない新たなセキュリティ対策の手法が今後求められるようになると考えられます。
ここでは、初心者から上級者まで使える定番ツール「Lhaplus」の暗号化方法を紹介します。Windows7以降、ZIPファイルの暗号化は標準機能から外れたため、ZIPファイルにパスワードを設定できる圧縮・解凍ソフトが必要です。
Lhaplusはインストールするだけで、ZIPをはじめlzhやcab、rarなど20を超えるファイルの圧縮と解凍が可能になります。
<STEP1>
暗号化したいファイルやフォルダを選択し、右クリックから「圧縮」「.ZIP(pass)」を選択します。
<STEP2>
パスワード設定画面にてパスワードを入力し、「OK」をクリックすれば、デスクトップにZIPファイルが作成されます。
なお、機能をカスタマイズするにはLhaplusのアイコンをダブルクリックして設定画面を開き、「一般設定」タブから「詳細設定」をクリックすれば、細かく設定することも可能です。
圧縮ファイルにパスワードを設定できる暗号化は、安全性を高めたいユーザーのニーズに応える利便性の高いツールですが、完璧ではないためデメリットも伴います。
ZIP暗号化を利用するなら、メリット・デメリットをきちんと把握したうえで、上手に活用しましょう。
ZIP暗号化を使用する目的は、企業や個人によりさまざまです。代表的な利用方法として、まず「誤送信対策」があげられます。大切なデータをメールで送付した瞬間に、「宛先を間違えた!」と慌てた経験はありませんか?
そのような誤送信をしてしまった場合でも、ZIP暗号化をしていれば漏えいのリスクを低減することができます。パスワードが設定されていますので、早い段階で誤送信に気付けば情報漏えいを未然に防ぐことにつながります。
また、自社や自身のためではなく、取引先への気遣いやコンプライアンス上の問題のために、ZIP暗号化を使用するケースもあるでしょう。
パスワードのかかったZIPファイルを送付することで、「あの会社はセキュリティ対策をしっかりしている」という印象を与えます。暗号化によりワンクッション置くことで、会社の信頼性や安心感につながるのもメリットです。
ZIPファイル内に保存されたデータのみ暗号化されますので、ファイルの名前、日付、サイズ、属性などの情報はZIP暗号化が適用されません。よって、パスワードがわからなくても、ファイル情報を表示できてしまう点がデメリットとなります。
また、ZIP暗号化はパスワードを知らない人に対して、ファイルを開かせないようにするには有効ですが、復号化を必要としない場合は暗号化の効果を発揮しません。つまり、パスワードがなくても、ZIP暗号化されたファイルを削除したり、名前を変更することは可能です。
加えて、「1234」のようなあまりに単純なパスワードではすぐに解析されてしまいます。AES256のような強度が高い暗号化であっても、高度なセキュリティは期待できません。
PCに悪意あるウイルスが侵入している場合、ファイルを開く際入力したパスワードが記録されてしまう危険性もあります。
パスワード付きZIPファイルの共有は、利便性の面で問題を抱えているだけでなく、手法そのものが危険であると指摘されることも増えてきました。
ZIPファイルには上述のとおり、暗号化によって得られる恩恵が限定的であるというデメリットがあります。加えて、ZIPファイルはパスワードを設定しても、総当たり方式で解読される可能性が極めて高い点も指摘されています。
一般的なサービスにおけるID情報と紐づけられたパスワードは、複数回入力を誤るとロックされるような仕組みが備わっています。一方でZIPファイルは、何回間違えてもそのようなロックがかかることがありません。
したがって、どれだけ複雑なパスワードを設定しても、いずれは総当たりで解除されてしまうリスクがあります。
前提として、ZIPファイルをPPAP形式で送信することそのものがリスクでもあります。
PPAPとはZIPファイルを暗号化して、ZIPファイルとそのパスワードを別個に送信するセキュリティ対策です。
以前はメールを使った安全なZIPファイル共有方法として知られていましたが、現在はメール盗聴のリスクが高く、意味のない手法と言われるようになりました。
PPAP方式は単にファイル暗号化の意味がないだけでなく、余計な業務負担増大を招く点も問題視されています。セキュリティの強化と業務効率化を両立するうえで、PPAP方式の運用は優先的に見直すべき問題です。
パスワードを解析する方法で述べたとおり、ZIP暗号化のパスワードは解析ソフトなどでクラッキングされる恐れがあります。ZIP暗号化によりセキュリティレベルを上げることはできても、情報漏えいのリスクが完全になくなるわけではないので注意が必要です。
ZIP暗号化による安全性は、暗号化方式の強度はもちろん、パスワードそのものの強度、さらにパスワードの管理方法にも関わってきます。以下、ZIP暗号化の強度を保つために気を付けたいことについて確認しておきましょう。
パスワード設定でありがちなパターンが、日付や名前、電話番号の下4桁、「1234」のような連番です。こうしたパスワードは誰にでも推測できてしまうため、安易に設定してしまうと、パスワードを知らない相手でも、解析ツールを使って短時間でクラッキングされる危険性があります。
また、推測できないよう複雑なパスワードにしたとしても、組み合わせや長さなど設定の仕方に規則性がある場合、その法則を知られてしまうことでパスワードを突破されるかもしれません。あくまで第三者に推測できないパスワードを設定することを心がけましょう。
パスワードの解析を難しくするためには、パスワードの長さと構成を複雑にする方法が有効です。例えば、アルファベットだけ、数字だけで設定するよりも、アルファベットの大文字、小文字、数字を組み合わせて設定した方が難易度は高くなります。
そして4桁よりも6桁、6桁よりも8桁というように、桁数が長くなるほど解析に時間がかかりますので、内閣サイバーセキュリティセンターから、パスワードの桁数は少なくとも10桁以上で、大文字・小文字の英数字および記号を組み合わせたものにすることが推奨されています。また、パスワードの使いまわしは非常に危険ですので、必ずパスワードは都度変更するようにしてください。
複雑化したパスワードを暗記して管理することは難しいものです。そのため、安全かつ効率的なパスワードの管理体制を整備することが推奨されます。
パスワードが書かれた紙をPCに貼り付ける手法は、情報漏えいの危険性が高く回避すべき手法です。そんな時に活用したいのがパスワード管理特化のサービス導入です。
ファイルやサービスごとにIDやパスワードを紐づけて管理し、自動入力やパスワードの自動生成も行うことが可能です。
端末間の同期に対応しているものもあるため業務効率化に貢献することはもちろん、いずれのサービスも強固な暗号化対策が導入されており、安心して使用できるのが強みです。
組織的にパスワード管理を強化したい場合はパスワード管理特化のサービスを活用するとよいでしょう。
PPAPに変わり、近年は以下のような情報共有の方法が採用されつつあります。それぞれの違いについて、確認しておきましょう。
オンラインストレージは、いわゆるクラウド上にデータを保管して共有するためのサービスです。アクセス権限が厳しく管理されたオンラインストレージ上にファイルを共有することで、アクセスが許可されたユーザー同士が簡単かつ安全に情報をやり取りできます。
近年は無料で利用できるサービスも多いため、テスト的に導入することも可能です。
ファイル転送サービスは、ユーザー間で直接ファイルを転送できるサービスです。メールサーバーを介さずファイルを共有できるため、PPAPのリスクを回避できる方法として知られています。
無料で利用可能なサービスもあり、気軽に利用しやすい点も高い評価を集めています。
チャットツールは社内、あるいは社外の許可された関係者とコミュニケーションが可能なツールです。メール同様にテキストや画像といったデータをやり取りすることができ、送受信のタイムラグがなく、それでいてクローズドに通信できるのが強みです。
メールの利便性の悪さやセキュリティリスクに懸念のある企業の多くが、チャットツールに移行しています。場合によっては各種クラウドストレージなどと併用して運用することで、さらなる業務効率化を図れるでしょう。
チャットツールについてご紹介させていただきましたが、社外とやり取りする場合は、メッセージや送付したファイルなどの取り消しが容易にできてしまうため、重要なやりとりの取り消しができないメールの使用が必要な企業もあるでしょう。
その場合は、メールセキュリティサービスがおすすめです。
メールセキュリティソフトには送る内容を自動的に確認してくれる機能などがありますので、オンラインストレージを使った情報共有で起こってしまう、送る内容を間違えてしまうといったヒューマンエラーを防ぐことができます。
ZIP暗号化は2種類あり、互換性を重視する場合はStandard ZIP 2.0、安全性を重視する場合はAESというように使い分けができます。
パスワード解析ツールがどんどん登場していますので、セキュリティ強度を高めるためにも、推測できそうな単純なパスワードは避け、10桁以上に設定すること、パスワード管理を徹底するなどの対策を行いましょう。
企業や個人で用途や目的が異なりますので、置かれている状況において最善の方法を選択することが大切です。
※本記事における価格情報記載はすべて税抜表記です。
※Microsoft、Windows、Windows 10およびMicrosoftのロゴは、米国およびその他の国におけるMicrosoft Corporationの登録商標または商標です。
※その他、記載されている会社名、製品名は、各社の登録商標または商標です。
このコラムをシェアする
