パスワード付zipファイルで機密文書をメールで送信する危険性と対応策とは？

請求書等の電子配信にお悩みはございませんか？
基幹システムに手を加えず連携し、電子化をご提案いたします。
商取引の全帳票を電子化し、即日到着でコスト削減・業務効率化を実現します！
⇒ まずは電子帳票ソリューション ナビエクスプレスの資料を見てみる

2020年11月に、政府は中央省庁において職員がメール送信時に利用してきた「パスワード付きzipファイル」を廃止する方針を決定しました。これまでさまざまな業界で使われてきたパスワード付きzipファイルですが、政府の決定を受け、多くの企業・組織で廃止が進んでいます。本記事では、パスワード付きzipファイルで機密文書をメール送信する危険性や問題点、代替手段について解説します。

パスワード付きzipファイルとは？基本をおさらい

まず、パスワード付きzipファイルを使ったファイル共有とは何かを確認しておきましょう。パスワード付きzipファイルとは、解凍のためのパスワードが設定された圧縮ファイルのことです。複数の帳票や容量が大きなファイルを社内・社外とやり取りする際に使われてきました。

パスワード付きzipファイルの送信方法

パスワード付きzipファイルを送信するには、まず送信者がデータファイルを圧縮してzipファイルを作成し、圧縮する際にパスワードを設定しておきます。さらに、zipファイルを解凍するためのパスワードを、別のメールで送信します。メール受信者は2通のメールを確認したあと、パスワードを入力してデータファイルを開くというわけです。日本ではスタンダードなこの方式は、皮肉を込めて暗に「PPAP方式」と呼ばれています。これは、「Password付きzipファイルを送ります」「Passwordを送ります」「An号化（暗号化）」「Protocol（プロトコル）」の頭文字を取ったものです。

パスワード付きzipファイルの危険性

なぜPPAP方式が多くの組織で採用されてきたのかというと、パスワード付きzipファイルとパスワードを別々に送ることは情報漏洩リスクの削減や、誤送信対策になると考えられていたためです。パスワード付きzipファイル送信時に宛先を間違えてしまっても、パスワードを知らせる2通目のメールを送らなければ相手はファイルを開けません。そのため、2通目のメールを送る前に誤送信に気づけば最悪の事態は避けられると考えられてきました。しかし、パスワードを知らせるメールを自動で送信している企業も多く、PPAP方式で誤送信による情報漏洩を防ぐのは難しいというのが現実です。なお、このPPAP方式がビジネスの場で広く使用されているのは日本だけです。パスワード付きzipファイルによるファイル共有は手間がかかる上、セキュリティ面での危険もあります。ここでは、パスワード付きzipファイルの危険性について詳しくみていきましょう。

メール盗聴による情報漏洩リスクを減らせない

メール盗聴による情報漏洩のリスクは、パスワード付きzipファイルでは減らせません。というのも、送信のタイミングは異なるものの、パスワード付きzipファイルとパスワードは同じ通信経路で送られるからです。第三者がネットワークを盗聴していた場合、片方だけを窃取するとは考えにくいもの。いくらファイルを暗号化していても、パスワードも窃取されれば簡単に情報を盗まれてしまいます。メール盗聴による情報漏洩を防ぐためには、メール以外の経路でパスワードを送る必要があります。つまり、パスワード付きzipファイルをメールで送るなら、パスワードは他の手段で伝えるなどの対応が必要なのです。

暗号強度が低い

zipの暗号化方式には「ZipCrypto」と「AES-256」の二つがあり、暗号の強度が高いのはAES-256です。しかし、AES-256はWindowsでサポートされていないため、エラーが発生して解凍できないことも少なくありません。そのため、日本ではさまざまなOSで採用されているZipCryptoが広く使われてきました。暗号強度の低いZipCryptoに単純なパスワードを設定すると、仮にパスワードが盗聴されていなくても、ツールを使って解析されてしまう可能性があります。

ウイルスチェックができない可能性がある

ウイルス対策ソフトがzipファイルをスキャンするときは、解凍してスキャンを行うのが一般的です。しかし、ウイルス対策ソフトによっては、パスワード付きzipファイルのファイルを解凍できずにスキャンを行わない可能性があります。さらに「Emotet（エモテット）を始めとするウイルス感染を狙った攻撃メールの存在も問題の一つです。ウイルス対策として、パスワード付きzipファイルをすべてブロックする措置を取っている企業もあります。

政府がパスワード付きzipファイルの廃止を決定

パスワード付きzipファイルは、これまで日本の多くの企業や組織で使われてきました。日本政府でも、職員がファイルを添付したメールを送信すると、自動でそのファイルをzip化し、別メールでパスワードを送信するシステムを導入していました。しかし、2020年11月、政府は「セキュリティ対策や受け取り側の利便性の観点から適切ではない」という理由でパスワード付きzipファイルを廃止する方針を決定。外部へファイル送信する際は1回限り使い捨てのURLとログインパスワードを発行し、内閣府のストレージサービスを使ってファイルを共有する方式がメインになりました。内閣府のシステムにアクセスできない事業者へはメールでファイルを送信しますが、パスワードはプロジェクト立ち上げ時に決めておき、それを使って開封することになっています。単発事業の場合は、例外的に電話などでパスワードを共有するケースもあるようです。

なお、「プライバシーマーク（Pマーク）制度」を運営する団体JIPDECも、パスワード付きzipファイルの使用を「以前から推奨していない」とする見解を公式に発表しました。政府の決定やJIPDECの発表を受けて、パスワード付きzipファイルを廃止する民間企業は今後ますます増えるでしょう。今後もパスワード付きzipファイルを使い続けることは、自社のセキュリティ面での評価を落とすことにもつながりかねません。パスワード付きzipファイルに代えて、業務内容に合わせたセキュリティ対策を取ることが求められているのです。

送信するときは要注意！セキュリティ対策を慎重にするべき機密文書

社外に知られてはならない情報が含まれているデータを「機密文書」と呼びます。PPAP方式で機密文書を取り扱う危険性が発見された時代では、ほかのセキュリティ対策を準備することが急務です。この段落では、機密文書の定義や種類、PPAPに代わるセキュリティ対策を解説します。

機密文書は法律で定義づけられる？

法律によって機密文書が明確に定義されているわけではありません。しかし、機密文書の概念にかなり近い言及をしている法律はあります。「不正競争防止法」では、第２条６項で「生産方法、販売方法、技術や営業の方法」を記した、公にされていない情報を「営業秘密」と定義しました。そして、営業秘密を侵害した場合の刑罰まで述べています。すなわち、営業秘密と同じく「有益で秘密のまま人知れず管理されている」文書は、漏えいされてはならない機密だといえるでしょう。

機密文書の種類1.極秘文書

あくまで世間的な認識ではあるものの、機密文書は大きく分けて3種類です。まず「極秘文書」はもっとも機密性が高い文書です。許可なく公開されれば、企業や個人に莫大な損害がもたらされる危険をはらんでいます。そのため、組織内でもごく一部の人間にしか閲覧の権限が与えられていません。重要な取引の契約書、個人情報、人事の資料などが極秘文書に該当します。

機密文書の種類2.秘文書

極秘文書に次ぐ機密性を有しているのが「秘文書」です。秘文書も社内の一部の人間にしか閲覧が許可されていません。そのかわり、極秘文書よりもやや閲覧範囲は広くなっています。

機密文書の種類3.社外秘文書

組織内でのみ共有されているのが「社外秘文書」です。社外であれば多くの人が自由に閲覧できます。ただし、社外に見られれば利益を失う恐れがあるので基本的に持ち出しは禁止されています。例としては、顧客リストや企画書、マーケティング資料などです。

パスワード付きzipファイルの廃止にともなう対応策

ここからは、パスワード付きzipファイルに代わる代表的な方法を紹介します。なお、すべての添付ファイルの送信方法を変えるのではなく、メールの重要度や機密性によってメール添付と使い分けるといいでしょう。

パスワード付きzipファイルに強力なパスワードを設定し、メール以外の手段で伝える

これまで紹介してきたように、パスワード付きzipファイルの利用そのものを廃止するのが得策です。しかし、共有先の事情によっては、どうしてもパスワード付きzipファイルでのやり取りが必要な場合もあるでしょう。そんなときは、パスワード付きzipファイルに強力なパスワードを設定し、電話やチャット、SMSなどの「メール以外の手段」でパスワードを伝えるのも一つの手です。ただし、この方法ではパスワード付きzipファイルを利用したマルウェアの攻撃を防ぐことができません。さらに、電話やチャットでのパスワードのやり取りは手間がかかるため、送信者にも受信者の負担を増やすことになるでしょう。

メール受信側がパスワードをあらかじめ決めておく

こちらも、パスワード付きzipファイルでのやり取りをやめられない場合の方法です。メール受信側がパスワードをあらかじめ決めておき、それを送信側に共有します。メール送信側はパスワード付きzipファイル作成時に、共有されたパスワードを設定するというわけです。情報漏洩のリスクは減る可能性がありますが、手間がかかる上、送信側・受信側のどちらかがパスワードを忘れる危険もあります。

S/MIMEを利用する

S/MIMEとは暗号化方式の一つで、電子証明書を利用してメールの暗号化と電子署名ができるものです。メールを暗号化してやり取りすることで、たとえ盗聴されても第三者にはメールを解読できません。また、電子署名によってなりすましやメールの改ざんを防ぎ、メールによるフィッシング詐欺被害のリスクに備えられます。メール配信途中で改ざんを検知した場合は、警告が表示されます。ただし、メールの送信者と受信者が、どちらもS/MIMEに対応する電子メールソフトを使用しないといけない点は問題です。また、誤送信自体は防げないので、個別に対策する必要があります。

ビジネスチャットツールを利用する

slack（スラック）やChatwork（チャットワーク）といったビジネスチャットツールを利用する方法もあります。ビジネスチャットツールではテキストだけでなくファイルの送受信も可能です。1対1のチャットはもちろん、グループチャットを使えば複数の人に同時にファイルを送信できます。メールアドレスを入力するのに比べて、誤送信が起きにくいというメリットもあります。テレワークの拡大によりビジネスチャットツールを導入する企業や個人が増加しているため、利用しやすい方法かもしれません。ただし、外部へファイル送信する場合、相手が自社と同じツールを使用している必要があります。

オンラインストレージサービスを利用する

オンラインストレージサービスとは、インターネット上にファイルを保管したり共有したりできる場所を提供するサービスのことです。ブラウザからアクセスするのが基本ですが、スマートフォンアプリで利用できるサービスもあります。ファイルをオンラインストレージにアップロードしておけば、相手がオンラインストレージにアクセスすることでそのファイルを共有できます。ファイルの共同編集や差し替えなどが容易にできるのもメリットです。バックアップの手間がかからないことや、メールの送受信に比べてデータの紛失リスクが低いこともポイント。サービスによって内容は異なりますが、多くのサービスで、受取人の限定やアクセスコード、権限設定、有効期限の設定などにより安全にファイルをやり取りできます。ただし、導入にはコストや時間がかかるという問題があります。無料で使えるオンラインストレージサービスもありますが、セキュリティ面に弱点がある可能性があるため注意が必要です。また、社外とファイルを共有する場合は、相手にもオンラインストレージサービスを利用してもらう必要があります。

ファイル転送サービスを利用する

ファイル転送サービスとは、インターネット上のサーバを通してファイルを簡単に送受信できるサービスのこと。主に大容量のファイルを送る際に使います。無料で利用できるサービスも多く、メールでは送りにくいような大容量ファイルを簡単に送れるとあって、個人から法人まで幅広く利用されています。ただし、無料で提供されているサービスは、損失や損害の保証がないケースがほとんどです。セキュリティに関する情報が明らかにされていない場合も多いため、機密情報や個人情報を扱う場合は、ウイルスチェックや暗号化、不正アクセスの検知・遮断、システム管理者による送信制限やアクセス履歴の管理機能などが充実している有料サービスを使うのが賢明です。

電子帳票ソリューション ナビエクスプレスは、セキュリティに特化したデータ送信サービスです。1送信あたり最大500MBまで送信可能。大量の宛先にデータ送信することができます。帳票の電子化や機密性の高いデータ送信にお困りの方はお気軽にご相談ください。

テレワーク時代だからこそ安全なファイル共有を

政府がパスワード付きzipファイルを廃止した今、企業もパスワード付きzipファイルに代わるファイル共有方法を用意する必要が出てくるでしょう。テレワーク時代ということもあり、エンドポイントセキュリティ対策は重要です。ただし、新しいサービスを導入するにはコストがかかるほか、既存のシステムや取引先との連携など、考慮すべきことは数多くあります。自社にとって最善の方法を選択するのが肝心です。