メールにZIPファイル添付がNGの理由
ZIPファイルは便利な機能ですが、特にWindows7より前のPCやフリーソフトで作成する「パスワード付きZIPファイル」に関して言うと、今ではNGのようです。平井卓也デジタル改革担当相は2020年11月17日、中央省庁の職員を対象に「パスワード付きZIPファイルの送信ルール(PPAP)」を廃止する方針を明らかにしています。パスワード付きZIPファイルは、大企業でもけっこう頻繁にやり取りされているようなのですが、NGな理由はいったい何なのでしょうか。
一方セキュリティソフトはうまく展開することができず、ウイルスがすり抜けてしまう可能性も。この辺りのことに関して、IT系ニュースサイト、ITmedia エンタープライズの記事では「パスワードを付けずに添付して送信した方がむしろ安全かもしれません」とコメントしています。また、こういった記事へのコメント等を見ると、「メールが漏洩しているとすれば、パスワードを別メールにしたところで一緒に漏洩しているので意味はない」といった話もあります。
運営者のしっかりしたクラウドストレージを使えば、一般的に通信経路は一般的にSSL/TLSによって暗号化されます。またデータ暗号化という点に関しては、たとえばDropboxのサイトには「各ファイルは不連続のブロックに分割され、強力な暗号を使用して暗号化されます」との記載があります。仕事で使うためにはもう少し細かくアクセス数やダウンロード数の確認ができるクラウドストレージが望ましいようですが、一般的なクラウドストレージでも中にはある程度のセキュリティは確保されているものあるようです。
大泰司さんは16年、ピコ太郎のPPAPの響きが「プロトコルっぽい」と言う人がいたことからヒントを得て、パスワード付きZIPメールの「セキュリティしぐさ」に、PPAPと命名しました。PPAPとは以下の頭文字とのことだそうです。
P=PasswordつきZIPファイルを送る、P=Passwordを送る、A=暗号化された、P=プロトコル(技術仕様)。
完全な「暗号化」ではない
「パスワード付きZIPファイルの送信ルール(PPAP)」とは、パスワード付きZIPファイルを作成、送信したのち、パスワードを別メールで送る、という一連の情報共有方法です。パスワード付きZIPファイルは、Windows7以降標準機能では作れなくなっています。こうしたことから現在ではフリーソフトで作成、および展開する必要があります。昔からの習慣が今でも続いていると言っていいでしょう。パスワード付きZIPファイルが嫌われる大きな理由の一つは、完全な「暗号化」ではないという点です。パスワードなしでディレクトリ構造やファイル名を確認できてしまう点は、セキュリティとしてだいぶ甘いと考えられます。また、パスワードに関しても入力回数制限等はありません。つまり、ちょっとした解錠プログラムを走らせれば、いつかは展開できることになります。一方セキュリティソフトはうまく展開することができず、ウイルスがすり抜けてしまう可能性も。この辺りのことに関して、IT系ニュースサイト、ITmedia エンタープライズの記事では「パスワードを付けずに添付して送信した方がむしろ安全かもしれません」とコメントしています。また、こういった記事へのコメント等を見ると、「メールが漏洩しているとすれば、パスワードを別メールにしたところで一緒に漏洩しているので意味はない」といった話もあります。
安全な代替手段はクラウドストレージ
では今後、どういった方法に置き換えればいいのでしょうか。NRI SecureTechnologiesのブログによると以下の通りコメントされています。現状を変えたくないとすれば、「十分長くて複雑なパスワードをメール以外の経路で伝達する」ということが考えられるようです。あとはやはりクラウドサービスがもっとも現実的なようです。送りたい相手にURLリンクを送信し、受信したほうはここからクラウドサービスにアクセスする仕組みです。運営者のしっかりしたクラウドストレージを使えば、一般的に通信経路は一般的にSSL/TLSによって暗号化されます。またデータ暗号化という点に関しては、たとえばDropboxのサイトには「各ファイルは不連続のブロックに分割され、強力な暗号を使用して暗号化されます」との記載があります。仕事で使うためにはもう少し細かくアクセス数やダウンロード数の確認ができるクラウドストレージが望ましいようですが、一般的なクラウドストレージでも中にはある程度のセキュリティは確保されているものあるようです。
PPAPといえば……
ちなみに、「PPAP」といえばピコ太郎を思い浮かべた人も多いはず。いかにも通信プロトコルのような音ですが、実は語源はほんとうにピコ太郎。「PPAP」と呼ぼうと提唱したのは、ITコンサルタントで、現在はPPAP総研代表の大泰司章(おおたいし あきら)さんです。大泰司さんは16年、ピコ太郎のPPAPの響きが「プロトコルっぽい」と言う人がいたことからヒントを得て、パスワード付きZIPメールの「セキュリティしぐさ」に、PPAPと命名しました。PPAPとは以下の頭文字とのことだそうです。
P=PasswordつきZIPファイルを送る、P=Passwordを送る、A=暗号化された、P=プロトコル(技術仕様)。
<参考サイト>
・「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか|ITmedia エンタープライズ
https://www.itmedia.co.jp/enterprise/articles/2011/24/news020.html
ピコ太郎? パスワード付きZIPメール、なぜ「PPAP」と呼ばれるの?|ITmedia NEWS
https://www.itmedia.co.jp/news/articles/2011/24/news114.html
Dropbox にとってデータの安全性は何よりも大切です|Dropbox
https://www.dropbox.com/ja/security
第1回 HTTPS(HTTP over SSL/TLS)とは|@IT
https://www.atmarkit.co.jp/ait/articles/1704/12/news035.html
・「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか|ITmedia エンタープライズ
https://www.itmedia.co.jp/enterprise/articles/2011/24/news020.html
ピコ太郎? パスワード付きZIPメール、なぜ「PPAP」と呼ばれるの?|ITmedia NEWS
https://www.itmedia.co.jp/news/articles/2011/24/news114.html
Dropbox にとってデータの安全性は何よりも大切です|Dropbox
https://www.dropbox.com/ja/security
第1回 HTTPS(HTTP over SSL/TLS)とは|@IT
https://www.atmarkit.co.jp/ait/articles/1704/12/news035.html