パスワード付きZIPファイルの廃止とは？

この記事では、昨今大手企業や官公庁で叫ばれている、パスワード付きZIPファイルの廃止について解説します。

パスワード付きZIPファイルの廃止が発生した経緯

2020年11月17日の政府定例会で平井卓也デジタル改⾰担当相が、

政府の意⾒募集サイト「デジタル改⾰アイデアボックス」の意⾒を採⽤し、中央省庁の職員が⽂書などのデータを

メールで送信する際に使うパスワード付きZIPファイルを廃⽌するという流れになりました。

「Password付きZIPファイルを送ります、Passwordを送ります、An号化（暗号化）Protocol（プロトコル）」の略で一般的にはPPAP廃止問題と言われています。

実際翌日にはクラウド会計のfree社が同様に廃止を発表したりと、一時的に世間を騒がせました

中央省庁がパスワード付きZIPファイルの廃止を行う理由

政府の公式的な見解ではありませんが、セキュリティ強度の問題で説明されていると考えています

セキュリティ強度の問題とは？

パスワード付きzipファイルは、会社がメールでやりとりを行う事で発生した慣習ですので、少なくとも1990年 〜2000年前半から利用されています。

発生当初は、外部からの攻撃によるファイル流出やファイルの内容の解析などの心配はなく、ZIP化していればセキュリティな要件として満たしていました。

もちろん現在と同様に、メール自体の送付先誤りやパスワードの送付先、誤りなどのリスクは存在しました。

ただ、昨今の

・IT機器を安く購入できる

・世界的なインターネット速度の向上

・低コストのインフラ構築が可能になった

・乗っ取られた踏み台PCの増加

・米中経済対立

などにより、外部から容易に機械的・または意図的に攻撃を行う事が可能になりました。

官公庁であれば、常時外部からの攻撃を受けている為セキュリティ的な問題でパスワード付きZIPファイルを

廃止する流れになった　というような経緯が想像できます。

しかしパスワード付きZIPファイルを廃止しても、ファイルの受け渡しやメールでの業務のやり取りは引き続き発生しますので、

メール自体の暗号化やセキュリティ的に強固なファイルサーバを用意しなければならず、

結局それを行うと業務負荷は発生しますし、維持コストも高額になります。

このことからどちらかというと、パスワード付きZIPファイルを廃止する(PPAP問題）は

デジタル庁が各方面の調整もなく、世間にも分かりやすい伝わる　パフォーマンス的な要素が強いと考えています。

パスワード付きZIPファイルの廃止すべきなのか？

もちろん企業のセキュリティポリシーとコストでの相談といった形になります。

ただ、パスワード付きZIPファイルを廃止した場合は

1:メール自体の暗号化

2:不特定多数でも利用できる安全なファイルサーバー

3:上記へ攻撃が発生した場合に、検知・遮断できる体制

が必要になってきます。

なぜなら、セキュリティ的な理由でパスワード付きZIPファイルの廃止をした場合は、

それに代るファイルの受け渡し場所が必要になりますし、メールで重要な情報をやりとりして、流出した場合の対策としてメール自体の暗号化も必要になります。

また、昨今のコロナ感染によるリモートワーク の普及により、VPNから接続した場合の通信速度やスマホや私用PCからアクセスした場合の対応なども考えなければなりません。

利用する社用PCへ暗号化ソフトをインストールしていても、上記のように私用端末からのアクセスは必ず発生します。

リモートワーク が許容されている環境で、業務PCで仕事がやり辛い場合は、社員の方は抜け穴を探し、それが非公然的に状態化します。

これでは本末転倒なのですが、実際に発生していますので、

パスワード付きZIPファイルの廃止はあまり現実的ではありません。