秘密分散 フォー メール
「安全と思っていたパスワード付きZIPファイルにはセキュリティ面での問題があります。」
こうした疑問をお持ちではありませんか?
2020年11月、平井卓也デジタル改革担当大臣は、パスワード付きZIPファイルを廃止する意向を示しました。いまだ企業に根強く残っているメールにパスワード付きZIPファイルを添付してデータを送付する慣習にはどのような問題があるのでしょうか?
本記事では、パスワード付きZIPやPPAPについて解説しながら、パスワード付きZIPに変わるデータ送付方法についても説明しています。
何気なく使っているパスワード付きZIPファイルの問題点や廃止されたあとの代替手段を知っておくことで、廃止された場合に素早く切り替えることができるので、これを機に確認しておきましょう。
※本記事に掲載している情報は2024年9月時点のものです。
目次
秘密分散 フォー メール
カンタン・便利なのに高いセキュリティ
Outlookメールでの情報漏えいリスクを防ぎます。
パスワード付きZIPファイルとは、たとえば取引先などへ送るデータにおいて、圧縮されてパスワードが設定されているファイルのことです。
データを送りたいときに、ZIPファイルをPC等で作成して、パスワードを設定する(暗号化)という流れで生成されます。
この方法は、添付ファイルが暗号化されているため、従来は情報漏えいからデータを守るセキュリティ対策として認知されていました。
ZIPファイルとは、圧縮ファイルとも呼ばれる世界標準のアーカイブファイル形式です。末尾の拡張子が「.ZIP」の形式となることで知られており、通常のファイルよりもデータ容量を小さく保存できます。
ZIPファイルを使用することで、通常であればメールには添付できないような大容量ファイルも、メールで送信が可能です。圧縮したZIPファイルは、展開することで元のファイルサイズに戻ります。
データ容量が小さい状態でファイルを共有することで共有時のコストを抑え、それでいて相手の手元に渡ったあとは通常のファイルと同じように使用ができるというのがZIPファイルの強みです。
PPAPという単語をみなさんも一度は聞いたことがあるのではないでしょうか?PPAPとは、パスワード付きZIPファイルを作成し、パスワードを作成、そのあとパスワードを別送するという一連の流れのことを表す造語のことです。
1つひとつのアルファベットはパスワード付きZIPファイルを作ってデータを送るまでの業務を表していて、次のように意味が付けられています。
このPPAPという言葉は、揶揄(やゆ)表現であり、早く別の手段に移行しましょうという意味が込められています。
セキュリティ面の危険性が一部では認知されていたものの、他の手段も浸透しておらず、多くの企業・組織で根強く残っているセキュリティ運用ルールの1つです。2020年11月、平井卓也デジタル改革担当大臣のパスワード付きZIPファイル廃止の方針を示したことを受けて、ようやく別の手段に移行しようという流れが見えてきました。
ここでは、パスワード付きZIPの作り方について、Windows・Macごとにそれぞれ見ていきます。Windows8とWindows10では、Windowsの標準機能を使ってパスワード付きZIPファイルを作成することができなくなってしまいました。
WindowsOSでは、フリーソフトをインストールしてパスワード付きZIPファイルを作成する方法を紹介します。おすすめのソフトは「7-ZIP」というソフト。また、Macでは標準の機能でパスワード付きのZIPファイルを作成することができます。
はじめに「7-ZIP」を使ったパスワード付きZIPファイルの作り方を見ていきます。作成方法の流れは以下のとおりです。
では順に見ていきましょう。
■ダウンロードとインストール
まずは公式サイト(https://7-zip.opensource.jp/)からインストーラーをダウンロードします。64bit版と32bit版が選べるので、お使いのPCに合わせて選択しましょう。「設定」→「システム」→「バージョン情報」の順に選択することで、PCのbit数を確認できます。
ダウンロードに成功したら、ファイルを実行します。ダブルクリックか右クリックで開くメニューから実行してください。特に変更する必要はないので、「Install」を押してインストールしてください。途中で「この不明な発行元からのアプリケーションがデバイスに変更を加えることを許可しますか?」というダイアログが表示されることがありますが、「はい」をクリックしてください。
■暗号化とパスワードの設定方法
インストールに成功すると、暗号化したいファイル・フォルダを選択して右クリックからでてくるメニューに「圧縮」という項目が追加されます。この「7-ZIP」はソフトを立ち上げる必要がないので、暗号化する前にソフトを直接起動するなどの操作はいりません。
暗号化したいファイルまたはフォルダを選択して右クリックから「7-ZIP」→「圧縮」の順に選択していきます。そのあと「アーカイブ形式」の項目で「ZIP」を選択し、「パスワード」、「パスワード再入力」の箇所にパスワードを入力してください。「OK」をクリックしてパスワード付きZIPファイルの作成は完了です。
Macでは、Windowsと異なり、ソフトをインストールする必要がありません。標準機能でパスワード付きZIPファイルを作成できるので、その方法を説明していきます。手順は次のとおりです。
では見ていきましょう。
■ファイルまたはフォルダの暗号化
暗号化したいファイルまたはフォルダを選択し、右クリックまたは2本指タップで開くメニューから、「“(ファイルまたはフォルダ名)”を圧縮」を選択します。これで、ZIP形式に変換することができました。
■「ターミナル」機能を使ってのパスワード設定
まずは「ターミナル」を開きます。ターミナルは、Launchpadを開き、アプリケーション一覧より選択します。見つからないときは検索窓で“ターミナル”と入力するとでてきます。
「Command」+「Space(スペース)」を押すと呼び出せるSpotlight検索から“ターミナル”と入力することでも呼び出せます。ターミナルのウィンドウが開けたら、“ZIPcloak”と入力してください。
続けて半角のスペースを入れて、ターミナルのウィンドウにパスワードを設定したいZIPファイルをドラッグ&ドロップしてEnterを押してください。すると、“Enter
password”と表示されるので、その後ろに設定したいパスワードを入力してください。
パスワードを入力すると“Verify password”と表示されるので、もう一度、先ほど入力したパスワードを入力してください。
これで、パスワード付きZIPファイルを作成することができました。ここでは、新しくパスワードを設定したZIPファイルができるのではなく、作成したZIPファイルにパスワードが設定され上書きされます。
2020年11月の平井卓也デジタル改革担当大臣による方針発表で、パスワード付きZIPファイルの廃止を推進する動きが企業や組織で見え始めていますが、いまだ完全に廃止することはできていません。
パスワード付きZIPファイルはなぜ完全に廃止されないのでしょうか?この慣習が撤廃されない理由は、次のとおりです。
パスワードを別送することで、添付ファイルがあるメールの宛先を間違えても、2通目のパスワードを送らずに中断することができます。気を付けていても宛先や添付するファイルを間違えていて焦った経験をお持ちではないでしょうか?
しかし、添付ファイルが開けないといっても、データの保守という点では不十分です。メールの本文の内容からデータが推測されてしまったり、解析ソフトなどでパスワードが解除されたりしてしまっては、元も子もありません。
企業によっては、プライバシーマークやISMSといった個人情報や機密保持の安全対策措置の審査基準を意識した結果、PPAPを導入しているところもあります。
しかし、PPAPを用いる場合は、充分長くて複雑なパスワードの設定や1通目と2通目の経路を変更するなどの対策も必要です。現在のPPAP運用では、充分なセキュリティ対策になっていないということになります。
セキュリティ面で不十分とわかっていても、取引先からパスワード付きZIPファイルとパスワードが別送されてくることは日常茶飯事という方も多いでしょう。
いまだPPAP運用を続けている企業が多いこと、また、組織レベルで他の方法に切り替えるのが大変というのもあってなかなか変えづらいというのが実情ではないでしょうか。
これまで長い間続いてきたパスワード付きZIPファイルによるデータ送付ですが、この方法にはいくつかの問題点があります。ここでは、パスワード付きZIPファイルの問題点について見ていきましょう。
問題点・危険性は次のとおりです。
そもそもPPAP運用を続けていては、メールの送信先を間違えてしまう可能性をゼロにはできません。1通目で気づく場合もあれば、2通目のパスワードを送ったあとに気づくケースも考えられます。
送信後に一定時間サーバー上に保持して、送信されない設定もありますが、気づけなければどちらにせよ、情報漏えいのリスクを完全に排除することはできません。
ZIPファイルにパスワードを設定しても、メールの本文は暗号化されていない平文のため、セキュリティの観点からは不十分といえます。
メールの本文からファイルの情報が読み取れてしまう可能性もあるでしょう。メールの本文も暗号化されるような運用に切り替える必要があります。
パスワードが単純な文字列だったり、数字のみの羅列だったりする場合には、可能な組み合わせを自動で試す総当たり解析によりファイルのパスワードが解読されてしまう可能性があります。
たとえば無料ソフトの「Lhaplus」はファイルの圧縮解凍用のソフトですが、総当たり解析の機能もあるため、手軽に誰でも総当たり解析を行えます。
パスワード付きZIPファイルの問題点で記載したZIPファイルの懸念事項を無視したまま使用を続けると、以下のような重大なリスクに企業がさらされることになります。
ZIPファイルを使った情報共有ですが、機密情報をPPAP方式で共有することがあるかもしれません。
PPAP方式によるZIPファイルの共有は、情報漏えいの温床と指摘されています。暗号化が不十分なメール環境でZIPファイルを共有すると、例えパスワードを付与していても簡単に中身が流出してしまう可能性があります。
機密情報の漏えいは、顧客や関係者など自社と関係のあるすべての人物や組織に被害を与えかねない、重大なインシデントです。企業のブランドを損なうことにも直結することから、そのリスクを最小限に抑える義務があると考えておきましょう。
ZIPファイルの情報漏えいを発端に、会社のシステムそのものが乗っ取られる恐れもあります。システムがハッキングされてしまうと、解除のために膨大な金額の身代金の支払いを求められたり、重大な事業の機会損失が発生したりすることもあるでしょう。
このような事態に発展してしまうと、それ以前の状態にまで復旧することは極めて困難になります。日頃からリスクを十分に理解し、被害を未然に防ぐ取り組みが重要です。
ここでは、PPAPに変わるデータ送付方法を紹介していきます。みなさんの仕事環境に合わせて移行できないか試してみてください。
S/MIMEとは、電子メールのセキュリティを向上する暗号化方式の1つで、メールの電子署名とメールの暗号化を行うものです。これを用いることで、添付ファイルだけでなく、メールの本文も暗号化できるため盗聴防止の役割があります。OutlookやiPhoneのメーラーなど多くのソフトが対応しています。
最近では、メールではなくチャットツールを用いて連絡をすることが企業でも増えてきました。有名なものだと、SlackやTeams、Chatworkなどがあります。
また、クラウドストレージのみの機能を持つものだと、DropboxやOnedrive、Google Driveなどが有名です。これらを用いてファイル共有を行うこともできます。
しかし、送受信側がどちらも同じソフトを使える環境にしておくことが必要なため、導入するのに少々事前準備が必要です。
ファイル転送サービスを使ったデータ送付も可能です。この方法では、大容量のデータの送付も行えます。
データの送信者はインターネット上のサーバーに送りたいデータをアップしたあと、ダウンロード専用のURL等を受信者に送ります。受信者はそのURLからデータをダウンロードすることができます。また、ブラウザではなく、専用のアプリケーションを利用してデータの送受信を行うサービスもあります。
チャットツールは、社内の従業員や社外の関係者とのコミュニケーションに特化したサービスです。あらかじめ相互に承認されたユーザー同士でしか交流ができない仕組みとなっているので、セキュリティに優れているのが特徴です。
チャットツール上では、テキストや画像はもちろん、ZIPファイルの共有も行うことができます。メールではなくチャットツールを使用することで、PPAP方式に付帯するリスクの大半を回避できるため、非常に有効です。
チャットツールの導入についてご紹介させていただきましたが、社外とやり取りする場合はメッセージや送付したファイルなどの取り消しが容易にできてしまうため、重要なやりとりの取り消しができないメールの使用が必要な企業もあるでしょう。
その場合は、メールセキュリティサービスがおすすめです。
メールセキュリティソフトには送る内容を自動的に確認してくれる機能などがありますので、オンラインストレージを使った情報共有で起こってしまう、送る内容を間違えてしまったなどのヒューマンエラーを防ぐことができます。
昨今では、PPAP運用のセキュリティ面の危険性が認知されてきています。万が一のときに取引先から信頼を落とさないよう、早めに別の方法へ移行することが望ましいといえます。
本記事を参考に、業務の特性や環境に合った導入しやすい方法でデータ送受信の方法について見直してみてはいかがでしょうか。
※本記事における価格情報記載はすべて税抜表記です。
※Microsoft、Windows、Windows 10およびMicrosoftのロゴは、米国およびその他の国におけるMicrosoft Corporationの登録商標または商標です。
※その他、記載されている会社名、製品名は、各社の登録商標または商標です。
このコラムをシェアする
