霞が関も廃止「zip+パスワード別送」

box

メール添付の「お作法」、いよいよ廃止

2020年11月17日、平井卓也デジタル改革担当相は定例会見で、中央省庁職員がメールでデータファイルを送信する際に用いる「zip圧縮+パスワード別送」のルールを廃止する方針であることを明らかにしました。

会見に臨む平井デジタル改革担当相

霞が関の職員は、文書データを添付する際、zipファイルに圧縮したファイルをメールに添付し送信。そのあとセキュリティ対策として慣例的にパスワードを別メールで送信していました。今回、こうした「お作法」を改める、というわけです。

平井デジタル改革担当相は「zipファイルのパスワードの扱いを見ていると、セキュリティを担保するための暗号化ではない」と指摘。「すべての文書をzipファイル化するのは、何でもハンコを押すのに似ている。そのやり方を今までやってきたからみんなやってたと思うし、メール内容をスマホで見れないのは致命的だ」とし、この「お作法」撤廃への認識を示しました。

長年「これがITセキュリティのスタンダードだ!」と信じられていた「zip+パスワード別送」。今回の平井デジタル改革担当相の発信は、この神話を真っ向から否定する動きとなりました。

 

 

 

「zip+パスワード別送」はなぜ生まれたか

これまでITセキュリティとして行政・民間企業が採用してきた「zip+パスワード別送」。この方法論は本当に有効だったのでしょうか。

そもそも、この方法論は、複数のファイルを圧縮して1ファイルとして固定化する「zip圧縮」が一般化したことに起因します。元々はzipに限らず「ファイル添付は圧縮して容量を減らして添付する」という方法論がビジネスマナーとして普及しました。国内でzipといえば主にWindowsユーザが使用していた方法論。かつてWindows主流だった日本では、ビジネスシーンでもWindowsユーザが多かったため「zip化がマナー」として定着しました。さらに、このzipファイルを作成する圧縮アプリに暗号化機能が備えられると「zip+パスワード別送」が“さらに進化したセキュリティ方法”として普及しました。

折しも時代は企業が「プライバシーマーク」取得を目指す時代に差し掛かった頃。「プライバシーマーク」の認証基準にある「通信情報の暗号化」という項目が、視覚的に理解しやすい「パスワード化」として認知されていったことも浸透理由のひとつと考えられるでしょう。

しかし、ここでひとつ認識を新たにしなければならないことがあります。

実はこの「プライバシーマーク」の認証を行っている一般財団法人日本情報経済社会推進協会(JIPDEC)は、11月18日、パスワード付きファイルのメール送信について「誤送信等による個人情報等の漏洩を防げないこと等から、従来から推奨していない」と全面否定したのです。

一般財団法人日本情報経済社会推進協会「新着情報」(2020年11月18日発信)

おそらくは平井デジタル改革担当相の発言を受け、混乱した多くの「プライバシーマーク」運用者が協会に対し多数の問い合わせを行ったのではないかと推察されます。結果、長年誤解を生んでいた「プライバシーマーク」における暗号化の考え方が初めて明示される形となったのです。

 

 

 

 

そもそも「zip+パスワード別送」は有効なのか

では、改めて「zip+パスワード別送」の効果について考えてみましょう。

もともとは「添付ファイルを誤送信先に見られないため」だったパスワード別送。ITセキュリティとしてどこまで有効なのか、ちょっと考えてみましょう。

誤送先防止/誤送信先の閲読防止策として

あとから送るパスワードを自動送信にせず、相手先アドレスをしっかりと確認すれば、誤送信防止には若干の効果があると言えなくもないかもしれません。

しかし、もしパスワード発行システムなどを利用し、自動送信になっていたとしたら、それは何の効果も生み出しません。

また、アドレス帳に登録されたアドレスが間違っていたり、アドレスそのものをコピペして送信する場合は、誤送信を防止する機能は一切発揮されません。

コンピュータウイルス対策として

実際のウイルスと同様に、コンピュータウイルスにもさまざまな種類が存在します。中にはzipや「zip+パスワード別送」メールを狙ったウイルスも存在します。また、送信側・受信側それぞれの添付ファイルに潜むウイルスも存在しており「zip+パスワード別送を行えば安心」という保証はまったく存在しません。

2020年9月8日に公益社団法人日本医師会が公表した「Emotet」感染は記憶に新しい事例です。基本的に、zipであろうと、パスワード別送であろうと、ウイルス対策には効果がないと言って良いでしょう。

悪質な攻撃者による不正取得対策

「zipとパスワードを別に送れば、メールを不正に取得しようとする攻撃者に対するセキュリティになる」というイメージがあります。これは攻撃者が運良くzipが添付されたメールを取得したとしても、添付ファイルがついていないパスワード記載メールを見逃してしまうため、zipを解凍できない状況が生まれる……といった理屈から生まれたものだと推察されます。

しかし、これもよく考えると非常に説得力の薄い話です。

zipがついたメールを取得できるくらいの技量を持った攻撃者が、果たして後送されるテキストメールをチェックし忘れるでしょうか。特にzip添付ありのメールの次に送信されやすいという状況がわかりきっているのです。さらにいえば、パスワード記載メールには対象zipのファイル名まで記載されていることがほとんどなのです。高い技術力を有する攻撃者に、これだけ具体的な選別情報を提供しているわけですから、もはや防御としては意味をなしていないと言って良いでしょう。

こうした点から考えてみると、やはり「zip+パスワード別送はセキュリティ効果を発揮しない」と結論づけて良いと考えられます。

今回は、分かりやすいようなるべく通信技術の専門用語・略語などを使わずにご説明してみました。さらに詳しく知りたい方は、「zip 無駄」「zip PPAP」などでWeb検索を。たくさんの情報に触れることができるでしょう。中には随分昔の記事も見つかるはず。通信技術やWebに関するリテラシーを持つ人々が、この「お作法」に対して抱いてきた危機感は、決して昨日今日のものではないのです。

 

 

 

では、具体的にどうしたらよいの?

こうなると、もはや企業は「どうしたらいいのよ?」という状態です。なにせ、いままで信じて必死に守っていた「zip+パスワード別送」というセキュリティが、実は意味をなしていなかったのです。早急に代替策を講じなければなりません。特に「プライバシーマーク」をはじめとするセキュリティ認証を受けている企業は、下手をするとその根拠となっている体制そのものが揺らぐ事態になりかねません。

平井デジタル改革担当相は代替策について「アイデアボックスを活用して広く意見を求める」といった発言をしていますが……正直、そんな「待ち」をする必要はありません。何も、悩む必要など無いのです。

メール添付なんて、やめてしまえばよいのです。

 

メール添付をやめてしまう方法

そう。結論から言うと、本当にメール添付なんてやめてしまえばよいのです。メールにファイルを添付しようとするから「zipガー」「パスワードガー」という話になったり、添付ファイルの大きさに悩んだりするのです。添付さえやめてしまえば、これらの悩みはすべて解消されるのです。

では、どうすればメール添付をやめられるのか。

答えは簡単。「box」を使えばよいのです。

「box」はアメリカ・イギリス両政府が認めた高次のセキュリティを備えたクラウド型コンテンツ・マネジメント・プラットフォーム。不正アクセスやコンピュータ・ウイルスなどの悪質な攻撃に対しても非常に有効なセキュリティが講じられています。このセキュアな領域に機密ファイルを保存。ファイル閲覧のための共有リンクを作成します。これからは、ファイルをメールに直接添付するのではなく、この共有リンクURLを相手先に送信すればよいのです。メールにファイルを添付しなければ、そのデータを盗み取られる心配は不要。さらに、共有リンクには有効期限を設定することもでき、必要なファイルを必要な期間のみ提供することも可能。相手先ではこのファイルをダウンロードすることすら不必要。120種をも超える保存形式のプレビューにも対応しています。

こうした「box」の機能を使えば、相手先に対しより安全な状態でファイルを提供することができるのです。

万が一、共有リンクを間違った相手に誤送信してしまった場合でも、共有を解除してしまうだけで相手の閲覧をシャットアウトすることも可能。つまり、「zip+パスワード別送」で実現したかった驚異への対策が、「box」で解決できるのです。

 

zip+パスワード別送 box
誤送信防止/誤送信先の閲覧防止策として パスワード記載メールのアドレスをしっかり確認すれば若干効果があるといえるかも…
  • 相手先をbox内ファイル共有に招待する形だから誤送信はほぼゼロ化可能。
  • 誤送信した場合も共有を解除すればファイルを即時閲読できない状態に戻すことも可能。
コンピュータウイルス対策 効果なし 高度なセキュリティによる対策が提供されている。
悪質な攻撃者による不正取得 高度な技術力を有する攻撃者なら、パスワードを別送していたとしても、その情報すら取得可能。結論として対策として有効ではない。
  • 共有リンクを提供するものの、共有対象データは高度なセキュリティ環境下で安全。
  • また、共有先にもboxアカウントを持ってもらい、コラボレータ管理を行っていくことができれば、さらに安全性を高める事が可能。
  • 万が一不正アクセス等が合った場合も、アクセスログなどの情報の記録を残すことができるため攻撃者特定などの動きが可能。

 

 

「box」についてならジーベックへご相談ください

これまで『ありコレ!』でも再三ご紹介してきたとおり、「box」は新型コロナウイルス環境下でのビジネスに対し「社外環境から社内データへの安全なアクセス」や、「電子契約(電子印鑑・電子署名)の導入」を有利にすすめるための最良プラットフォームです。これにくわえ、今後は「zip+パスワード別送」に替わる安全なデータ共有システムとして注目を集めることは間違いありません。

元に、100,000社以上もの企業が安全なデータ共有システムとして「box」を採用しています。この実績ほど「box」の性能を雄弁に語るものはないでしょう。

私たちジーベックは「box」の正規Authorized Partnerとして、「box」が持つ安全性・優位性をぜひ皆さんにご紹介したいと考えています。

もし、皆さんの所属企業・団体が「box」について検討の余地を持っているのなら、ぜひジーベックにご相談いただければと思います。