パスワード付きZIPファイルの添付を政府が辞める理由
2021年7月22日
政府が昨年末、パスワード付Zipファイルの廃止を発表したことは大きな話題となりました。多くの企業でも”脱PPAP”の動きが加速化しています。
本記事では政府がなぜパスワード付Zipファイルの添付廃止に踏み切ったのかについてまとめました。
はじめに
PPAPとは「(P)Password付きZip暗号化ファイル送付」、「(P)Password送付」、「(A)暗号化」「(P)Protocol」の頭文字をとっており、一言で言うとパスワード付きZIPファイルをメールで送って、パスワードは別のメールで送るやり取りのことを指します。
2020年11月17日、平井卓也デジタル改革担当相は内閣府と内閣官房でこのPPAPの廃止を発表し、同月の26日に廃止に踏み切りました。
これは、政府の意見募集サイトである「デジタル改革アイデアボックス」にこの廃止についての意見が寄せられ、多くの指示を集めたため採用されたとされています。
政府がパスワード付きZipファイルの廃止に踏み切ったのは送受信の手間とセキュリティ面での懸念が理由とされています。
パスワード付Zipファイルとは
そもそもパスワード付Zipファイルはメール通信における暗号化が難しいとされていた時代に、少しでも安全にファイルを共有する方法として取り入れられたとされており、政府はもちろん、多くの一般企業でも活用されていました。
以前からその安全性については疑問の声が上がってはいたものの、広く浸透していたためか、多くの事業者で活用され続けました。
しかし最近になり、ようやくその危険性を問題視する動きが強くなったのです。
パスワード付Zipファイルの危険性
主な危険性としては大きく3つ挙げられています。
1.誤送信
パスワード付Zipファイル送付の際、ファイル添付メールに続けてパスワード通知メールを送付する設定にしている場合がほとんどです。そのため、最初に送付する宛先を間違えてしまった場合、ファイルとパスワードが両方とも第三者に届いてしまう可能性があります。
送付の際の一度のヒューマンエラーにより情報漏洩を引き起こしかねません。
2.不正アクセス
通常のセキュリティ対策ソフトではウイルスチェックに対応していない場合があります。その場合、パスワード付Zipファイルで送られたマルウェアを受信者が解凍することでウイルスに感染してしまう危険性があります。
また、ウイルス感染などを起因とした不正アクセスにより、メールが悪意ある第三者に閲覧されていた場合、例えファイル添付メールとパスワードの通知メールを分けて送付したとしても、2通とも閲覧され、ファイル内情報が漏洩してしまう可能性があります。
3.パスワードの脆弱性
一般的にZipファイルで使われていることが多い「ZipCrypro」という暗号方式は攻撃ツールによって短時間でパスワードを解析されてしまうと言われています。強度がより強いとされている「AE5 256bit」という暗号方式はWindowsの標準機能として解凍が出来ないため普及率が高くありません。
以上のような問題点から、パスワード付Zipファイルの送受信(PPAP)を全面禁止にした企業等も出てきており、内閣府の廃止表明からその動きはより一層加速しているとも言われています。
まとめ
内閣府は今後、ストレージサービスを利用してファイルを共有するとしています。外部の事業者とファイル共有を行う際は期限付のURLとパスワードを発行して共有を行う方針としていることから、現在オンラインストレージ型のファイル共有システムへの関心が高まってきています。
「ShareDrive」は自社専用オンラインストレージ上で簡単・安全にファイルやフォルダの送受信ができるオンラインクラウドサービスです。ページのデザインを会社独自の仕様にカスタマイズできる上に、独自ドメインのためプロモーションを併用することも可能です。
パスワード付Zipファイルの送受信にとってかわるサービスとなっており、お客様とのファイル共有をもっと手軽にしたいという方におすすめです。
詳しく知りたい方は下記よりお気軽にご相談ください!