Sony
Sony
Zipファイルのパスワードを別メールで送信する安全性とは?効果や問題点を解説

トピックス 2021.05.27 Zipファイルのパスワードを別メールで送信する安全性とは?効果や問題点を解説

「Zipファイルのパスワードを別メールで送る方法が普及しているけど、本当に効果があるのだろうか」「セキュリティの問題点があるか知りたい」などと気になる方は多いのではないでしょうか。

ファイルを送受信する際、圧縮したZipファイルにパスワードをかけて、別メールで送受信している企業は多いです。Zipファイルとは、複数のファイルを1つにまとめたものです。ファイルの容量を圧縮(小さく)する効果があります。

企業でメールに使用されるサーバーには、使える容量が決まっています。あまりに大きい容量のファイルを送ると、開くまでに時間がかかったり、開けなかったりするでしょう。ファイルを送信する際は、Zipファイルにして容量を小さくして送る方法がよく使われます。

Zipファイルとは

しかし、Zipファイルをそのまま送信することは、セキュリティ面にリスクがあります。パスワードを設定して別メールで連絡する方法が、一般的なセキュリティ対策です。

2020年11月24日に平井卓也デジタル改革担当相から、Zipファイルをメールで送りパスワードを別送信する方法について、会見がありました。11月26日から内閣府・内閣官房で、外部とのファイル送信にZipファイルのパスワードを別送信する方法を廃止する発表をしています。

10年以上安全と推奨されていた方法ですが、セキュリティ対策としては十分でないとのことです。この記事では、ZIPパスワードを別のメールで送るセキュリティ効果と安全性について迫ります。

Zipファイルのパスワードを別送信する方法とは

Zipファイルのパスワードを別送信する方法とは

メールは、企業の情報伝達手段として欠かせないものであり、多くの企業が利用しています。メールではテキストだけでなく、社内外の顧客情報や機密情報なども送受信するため、セキュリティ対策が非常に重要です。

Zipファイルにパスワードを設定して別メールで送受信する方法が、よく使われるようになりました。

こちらの方法は、一般的に「PPAP」と呼ばれています。

PPAPの略は以下の通りです。

● P:パスワード付きのZipファイル暗号化を送信
● P:パスワードを送信
● A:暗号化
● P:プロトコル(通信のルール)

元々のZipファイルの使用目的は、複数のファイルを1つにまとめることで、データ容量を小さくすることです。企業のデータを保存しているファイルサーバーの容量を節約して、実際に使える量を増やします。

PPAP

Zipファイルのパスワードを別メールで送受信する「PPAP」は、本来の使用目的とは異なります。

しかし、PPAPは、設定したパスワードをZipファイルと別のメールで送信することから、第三者からデータを盗み見されるのを防ぐ役割があると考えられているのです。

通常は、自分の手でファイルを暗号化しますが、手間がかかります。人の手間を減らす暗号化を自動的に行うツールがあり、PPAPが企業で使われるようになりました。

メールでZipファイルのパスワードを別送信する方法が普及した理由

メールでZipファイルのパスワードを別送信する方法が普及した理由

Zipファイルのパスワードを別メールで送信するPPAPが普及した理由は、会社のセキュリティポリシーで決められていることが多いからです。

会社がプライバシーマーク(Pマーク)の取得を目指すようになったことが関係あります。プライバシーマークは、会社が個人情報をしっかり管理していることを表します。

認証審査でPPAPが有効であるとされたことで、広く普及されるようになりました。取引先がプライバシーマークを取得していると、怪しい企業ではないと安心できるでしょう。

しかし、2020年11月18日にプライバシーマークを運営するJIPDECから、個人情報を含むファイルの送信は、個人情報の漏えいを防げないとの発表があったので注意が必要です。

Zipファイルのパスワードを別メールで送る4つの効果

Zipファイルのパスワードを別メールで送る3つの効果

Zipファイルのパスワードを別メールで送る方法は、広く普及しており、多くの企業で採用されています。Zipファイルを暗号化しているため、パスワードがないと開けず、セキュリティ対策があると重視されています。

普段使用しているPPAPに、どのような効果があるか気になる方もいるのではないでしょうか。効果を把握することで、しっかりしたセキュリティ対策を行うことができます。

こちらで紹介する内容は以下の4つです。

● メールの誤送信を防ぐ
● データの盗み見を防ぐ
● 会社のコンプライアンスを強化する
● プライバシーマーク・ISMSなどを取得できる

PPAPを使用する1つ目の効果は、「メールの誤送信を防ぐ」ことです。PPAPは、Zipファイルとパスワードを別々に送信します。

仮に、1通目のメールを送った段階で誤送信に気づいた場合、2通目でパスワードを送らなければファイルを開けませんメールの誤送信を防ぐ効果があります。

メールの誤送信を防ぐ効果

2つ目の効果は、「第三者によるデータの盗み見を防ぐ」ことです。PPAPはファイルとパスワードを別で送ります。第三者にファイルを取得されても、パスワードがないので開けません

逆に、同時に送った場合は、第三者に開かれることになるので非常に危険性が高いです。

3つ目の効果は、「会社のコンプライアンスを強化する」ことです。会社によっては、送られてくるZipファイルにパスワードが設定されておらず、誰でも開ける状態を良くないと感じる場合があります。

Zipファイルにパスワード設定することで、しっかりセキュリティ対策をしていると思ってもらえます。自社の信頼を向上させる可能性があるでしょう。

プライバシーマーク・ISMS

4つ目の効果は、「プライバシーマーク・ISMSなどを取得できる」ことです。プライバシーマーク・ISMSは、個人情報の取り扱いをしっかりしているとアピールできます。取得するには、厳正な審査を受ける必要があります。

審査項目に「添付ファイルを暗号化して第三者が開けないようにすること」があるため、PPAPが効果的であると認識されるようになりました。

ただし、プライバシーマークを運営するJIPDECは、PPAPを推奨していません。

別メールでZipファイルのパスワードを送信する際の問題点

別メールでZipファイルのパスワードを送信する際の問題点

多くの企業で採用されているPPAPですが、2020年11月18日にプライバシーマークを運営するJIPDECから、個人情報の漏えいを防げないとの発表がありました。

また、2020年11月24日には、平井卓也デジタル改革担当相が、Zipファイルとパスワードを別メールで送信する方法を内閣府・内閣官房で廃止すると発表しました。セキュリティ面で、情報漏えいを防げないことが理由です。

上記のように、PPAPのセキュリティ対策が不十分であるという声が出ています。

こちらでは、以下の問題点を紹介します。

● 不正な突破のリスクがある
● 情報漏えいする可能性がある
● ウイルス対策ソフトで検知できない
● Zipファイルを開くのに手間がかかる

「不正な突破のリスク」がある

1つ目の問題点は、「不正な突破のリスク」があることです。Zipファイルのパスワードは、何度でも入力できます。比較的容易に突破できてしまうリスクがあるので、注意が必要です。

2つ目の問題点は、「情報漏えいする」可能性があることです。PPAPは、Zipファイルとパスワードを別メールで送信します。メールを送信する際は、同じネットワークを通ります。

仮に、Zipファイルを添付している1通目のメールが第三者に漏えいした場合、パスワードが記載された2通目も盗み見される可能性が高いです。

同じルートを通ってメールを送信すると、情報漏えいする可能性があると言えます。

Zipファイルは「ウイルス対策ソフトに検知されない」

3つ目の問題点は、Zipファイルが「ウイルス対策ソフトに検知されない」ことです。

ほとんどの企業で、パソコンにウイルス対策ソフトがインストールされているでしょう。パソコンに侵入したウイルスを検知する役割です。

暗号化されたZipファイルは、中身が見られないので検知できません。悪意のあるウイルスが潜んでいても、簡単にパソコンに侵入できます。PPAPは、ウイルス対策ソフトで検知されないという問題点があります。

4つ目の問題点は、「Zipファイルを開くのに手間がかかる」ことです。届いたファイルを開くたびに、パスワードを入力する必要があります。毎回パスワードが書かれたメールを探すことにもなるので、非常に手間がかかります。

終わりに

今までの方法では個人情報漏えいに効果がない

Zipファイルのパスワードを別メールで送信する方法は、10年以上企業の情報伝達手段として広く普及してきました。メールの誤送信を防いだり、データの盗み見を防いだりするため、安全性があるとされていました。

しかし、個人情報漏えいに効果がないことが判明しています。Zipファイルを送信するやり方を、PPAPから別の方法に変更する企業も出てきました。

個人情報漏えいが起きると、取引先に迷惑をかけることになります。会社の信用にも関わるため、絶対に避けなければなりません。

そのため、社外に対してZipファイルを送信する方法を、今後見直す必要が出てくるでしょう。PPAPの問題点を正確に把握して、適切な対策を行うことが重要です。

【参考サイト】

メール添付のファイル送信について(一般財団法人日本情報経済社会推進協会)
https://privacymark.jp/news/system/2020/1118.html

パスワード付きzip、内閣府と内閣官房で26日から廃止へ 外部ストレージサービス活用 平井デジタル相
https://www.itmedia.co.jp/news/articles/2011/24/news097.html

パスワード付きZipファイル利用廃止後の代替手段
https://jp.globalsign.com/blog/articles/attachingfiles_password_201215.html

メールでパスワード別送は何が問題なのか?
https://www.boxsquare.jp/blog/password-sent-separately-by-email

霞が関も廃止「zip+パスワード別送」
https://arikore.com/2020/11/24/830/

添付ファイルの暗号化に意味はあるのか? - 添付ファイルの自動Zip暗号化|メールZipper
https://www.lrm.jp/mailzipper/attachment-encryption/

PPAPを今すぐ廃止するべき5つの理由|「パスワード付きzipをメール添付」はなぜ危険?
https://www.tsukaeru.net/blog-detail/alternatives-for-password-protected-zip-files-ja

TEXT:セキュリティ通信 編集部
PHOTO:iStock

Special Topics セキュリティ通信×カスペルスキー インターネット上のセキュリティに関して、株式会社カスペルスキーの調査・分析チームに様々な観点からお話を伺います。一覧を見るにはこちらをクリック。 Special Topics セキュリティ通信×カスペルスキー インターネット上のセキュリティに関して、株式会社カスペルスキーの調査・分析チームに様々な観点からお話を伺います。一覧を見るにはこちらをタップ。
tag

あなたの大切なパソコン・スマホを守ります!
世界が認める総合ウイルス対策ソフト

カスペルスキー

この記事を気にいったらいいね!しよう

セキュリティ通信の最新の話題をお届けします。

ページトップ

たいせつにしますプライバシー 10470001

is 571190 / ISO 27001:2013

© Sony Network Communications Inc.