<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=139163818022217&amp;ev=PageView&amp;noscript=1"> <img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=271598307802760&amp;ev=PageView&amp;noscript=1">

メールでパスワード別送は何が問題なのか?

 2021.01.05  Box Japan

社外関係者とのファイル共有方法として、ファイルをzip形式で圧縮しメールに添付し、それを開くためのパスワードを同じくメールで別送する方法があります。多くの企業で採用されるこの方法ですが、セキュリティリスクが高く、政府機関での廃止も発表されています。今回は、このメールによるパスワード別送方法の概要や問題点、また注目される代替共有方法についてご紹介します。

password-sent-separately-by-email

メールでパスワードを別送する方法とは

メールは仕事上欠かせない情報伝達手段として、ほとんどの企業で利用されています。本文のテキストはもちろん、個人情報や機密情報を含む情報を添付ファイルとして相手に送信することもあります。その際によく使われる方法が、パスワード付きzipファイルの添付です。

これは、安全性のためにファイルを暗号化し、zip形式に圧縮してから添付ファイルとしてメールで送信した直後、別のメールでパスワードだけを送信して受信者に知らせる方法です。

zip圧縮は、ファイルの圧縮方式としてもっともよく利用される方式です。「Deflate」というアルゴリズムで圧縮してzip形式に変換するもので、本来は複数のデータを1つにまとめて、データ容量を軽くする目的で使用されます。しかしここでは、パスワードをかけるという本来とは異なる用途で利用されています。パスワードを別メールで送信するのは、万一メールが盗聴されたときに、ファイルとパスワードが別々のほうがリスクは低いと考えられているためです。

パスワード付きzipを使った添付ファイルの送信方法は、一般に「PPAP」と呼ばれています。これはITコンサルタントの大泰司章氏が命名したもので、「(P)asswordつきzip暗号化ファイルを送信」「(P)asswordを送信」「(A)ん号化(暗号化)」「(P)rotocol」という、パスワードを付けて添付ファイルをメールで送信する一連の流れの頭文字をとり、当時流行していた楽曲をもじって名付けられました。

この方法は長らく「安全に添付ファイルを送信する方法」と信じられ、現在でも多くの企業で行われています。中には、添付ファイル付きのメール送信時に、自動で暗号化zipファイルへ変換し、パスワードを別送するサービスもあるほどです。その一方で以前より、安全性の低さが指摘されていました。2020年11月に政府機関での廃止が発表されたことで注目が集まり、PPAPに代わる方法の確立が求められています法は長らく「安全に添付ファイルを送信する方法」と信じられ、現在でも多くの企業で行われています。中には、添付ファイル付きのメール送信時に、自動で暗号化zipファイルへ変換し、パスワードを別送するサービスもあるほどです。その一方で以前より、安全性の低さが指摘されていました。2020年11月に政府機関での廃止が発表されたことで注目が集まり、PPAPに代わる方法の確立が求められています。

PPAP方式の問題点とは

PPAP方式は以下3点の問題から、実は安全性が低くリスクの高い方法とされています。

メールからの情報漏洩リスク

1つ目は、メールからの情報漏洩の問題です。メールを送信するときには、メールソフトとメールサーバー間や、メールサーバー同士で通信を行う際、内容を盗聴されるリスクがあります。

パスワードで暗号化しているため安全と思われるかもしれませんが、現在ほとんどの場合において、添付ファイル付きのメールとパスワードが書かれたメールは同じメールソフトで送信しています。そのため同じルートとなり、時間をあけずに送信した場合には両方盗聴されてしまうリスクがあり、安全性が高いとは言えないのです。

「パスワードが書かれたメールだけ別ルートのメールで送信する」「FAXで送信する」などの方法をとった場合は、ある程度安全性が高まります。

圧縮ファイルに潜むセキュリティリスク

より懸念されるのが、zipファイルに対してウイルスチェックをできないことです。

多くの企業では現在、職場のPCにセキュリティ対策ソフトがインストールされ、メールサーバー上でもウイルスチェックを行う仕組みが整っています。しかし、暗号化されたzipファイルに対しては、ほとんどのウイルス対策ソフトではチェックの実施が困難です。そのため、ウイルスが圧縮ファイルに仕込まれていた場合、それを感知できません。

アメリカでは「Emotet」と呼ばれる、パスワード付きzipファイルを悪用したマルウェアが増加していることを受け、パスワードが設定されたzipファイルを利用しないことを推奨しています。セキュリティを考慮すると、そもそもパスワード付きのzipファイルはメールで送受信しないことが安全なのです。

受信者の管理工数増加と負担

PPAP方式は、メールを受信した側にとっても工数が増えるため、業務効率の面でも問題となります。受信者はzipファイルを開くたびに、送信者から受け取ったパスワードが書かれたメールを探すことになるため、管理する手間が増えて非効率です。

「相手に対して一定期間同じパスワードをかける」という方法も考えられますが、これではパスワードが漏洩した場合に多くのファイルが開封できてしまうため、セキュリティリスクを考えると適切ではないでしょう。

政府がPPAP方式の廃止を発表

このような安全性・利便性の問題がありながら、多くの企業や自治体・省庁でPPAP方式は利用されていました。しかし、2020年10月に開始したデジタル化推進に関する国民の意見募集サイト「デジタル改革アイデアボックス」に、PPAP方式の持つ問題について多くの意見が寄せられたことから、政府はPPAP方式によるメール送信の廃止を発表しました。それに伴い内閣府では、内閣府の全職員の外部向けファイルを共有するときにはPPAP方式を行わない、という新ルールを2020年11月26日から開始しました。

代替案としてクラウドストレージに注目

PPAP方式に代わる安全なメール送信方法は、いくつか代替案こそ挙げられているものの、まだ周知とはなっていません。比較的安全性が高い方法として注目されているのが、クラウドストレージの利用です。

クラウドストレージとは、インターネット上にデータを保管するための場所を提供するサービスのことです。社内でのファイル共有などに利用されますが、取引先や業者など外部企業とのデータのやりとりにも利用でき、近年採用が進んでいます。

具体的には、メールで機密データを送信する代わりに、クラウドストレージにファイルを保存し、共有リンクを相手に伝えてデータを受け取ってもらいます。サービスによっては、受取人の指定や有効期限などを設定できるため、より安全性を高められる方法です。また、添付ファイルが不要となるため、ウイルスチェックがかけられないといった問題やzipファイルを開けないモバイルからのアクセスに関する問題も解決することができます。

法人向けクラウドストレージサービスとして国内でも人気が高い「Box」では、セキュリティに配慮したデータのやりとりができることが特徴です。細かい権限設定が可能で、共有が必要な相手にだけデータの表示やダウンロードができるようにも設定できます。そのため、メール添付の代わりとなるデータ受け渡し手段としても評価され、導入する企業が増えています。もし、新たなデータ受け渡し手段やファイル活用や管理の効率化のソリューションをお探しであれば、ぜひ検討してみてはいかがでしょうか。

[SMART_CONTENT]

まとめ

多くの企業で安全なデータの受け渡し方法として行われてきたPPAP方式ですが、安全性を確認する前に「皆がやっているから」という理由で盲目的に取り入れていた、というケースが多かったのが事実ではないでしょうか。
今回、政府がPPAP方式を取りやめたことで、多くの人や企業にとって改めてメール添付によるファイル共有のセキュリティを考え直すきっかけになったことでしょう。また一方で、パスワード付きzipファイルの信頼性が低くなったことで、あらためてファイル共有の代替方法を探す必要性も出てきました。
現在は、クラウドストレージなど安全にファイル共有を行える選択肢がいくつもあります。パスワード付きzipファイルに代わる合理的な代替策として、Boxのようなクラウドストレージを活用した方法を調査、検討してみるとよいでしょう。

CTA

RECENT POST「セキュリティ」の最新記事


セキュリティ

PPAPは何のため?その本質と有効なソリューション

セキュリティ

取引先との安全な「共有」を実現するには

セキュリティ

企業がファイル転送サービスを使うべきでない3つの理由

セキュリティ

話題のPPAP対策!BoxとmxHeroの連携でメールセキュリティも強化

メールでパスワード別送は何が問題なのか?