平井卓也デジタル改革相は、暗号化 zip ファイルを内閣府と内閣官房で廃止するという方針を発表しました。これを受けて、自社でも暗号化 zip 付きメールの利用に対して、何かしらの対応を考えている企業は少なくないのではないでしょうか。
そこで、暗号化 zip ファイルへの対応を検討している企業の情報システム担当の方に向けて、暗号化 zip に潜むリスクと、その代替案として6つの方法を解説します。暗号化 ZIP への自社での対応を検討するのに、ぜひ役立ててください。
暗号化 zip ファイルとは?
まずは、暗号化 zip ファイルに関する基本的なことを以下で解説していきます。
zip ファイルとは?
zip ファイルとは、ファイルやフォルダを圧縮したファイルを指します。データの内容はそのまま保持しながらも、圧縮することでファイルの容量を軽くできるため、メールでのデータのやりとりに便利です。
また、zip ファイルはもっとも広く使われている圧縮フォーマットで、圧縮された zip ファイルは解凍ソフトを使って簡単に元の状態に戻せます。
暗号化 zip とは?
暗号化 zip とは、暗号化処理が可能な圧縮ツールを使って暗号化した zip ファイルです。暗号化によって、ファイル名やフォルダの構造を隠すことはできませんが、ファイルの内容は隠すことができます。
したがって、暗号化 zip ファイルで誤送信してしまった場合でも、相手は内容を簡単には見ることができません。別添えでパスワードを送ることで、1度目で誤送信しても、パスワードを送らなければ、中身を見られるリスクが抑えられます。
暗号化 zip ファイルの送信方法は?
メールの誤送信などで、ファイルの内容が見られるリスクを抑えるために、暗号化してパスワードを付けた暗号化 zip ファイルで送りますが、その送信方法は以下のようになります。
- 送付するファイルを暗号化 zip ファイルに変換する。
- 暗号化 zip ファイルにパスワードを設定する。
- メールなどで添付ファイルとして暗号化 zip ファイルを送信する。
- 添付した暗号化 zip ファイルのパスワードを別で送信する。
メールの受信者は、zip ファイルを受け取ったら、パスワードを入力することで内容を確認することができます。
暗号化 zip ファイルに潜むリスク
データのセキュリティを高めるために使われる暗号化 zip ファイルですが、実は、リスクも潜んでいるのです。以下で、暗号化 zip ファイルのリスクについて解説します。
情報漏えいのリスク
送信先を間違えてデータを送付すれば、情報漏えいになります。メールの CC や BCC にメールアドレスを追加したり、複数人の登録があるメーリングリスト宛てに送信したりすれば、その範囲は想像以上に広がります。
暗号化 zip なら、1通目でファイルを誤送信しても、2通目で同じ相手にパスワードを送信しなければファイルは開かれません。したがって、2通目の時、再度送信先を確認することで、誤送信による情報漏えいのリスクが低減すると考えられています。
しかし、実際は2通目のパスワード送信時も、1通目の送信先アドレスをそのままコピーして、送信する可能性が高いとも言われているのです。そうなれば、誤送信による情報漏えいのリスクは、暗号化 zip でも変わらないということになります。
パスワードが解析されるリスク
暗号化 zip のデータを送信する際、1通目に誤送信だと気がつき、パスワードを送るのを防げたとしても、パスワード自体が解析されるリスクがあります。
パスワードがシンプルな文字と数字の羅列だった場合、可能なパスワードの組み合わせを全て試して開こうとする「総当たり攻撃」をされたら、パスワードが解読されて内容を見られてしまう可能性があるのです。
セキュリティのリスク
メールのセキュリティシステムでは、不審なメールや添付ファイルは、ユーザーに届く前に検出しフィルタリングすることが可能ですが、暗号化 zip では、暗号化によって内容がスキャンできないため、ウイルスに対して脆弱になります。
添付ファイルを通して、ウイルスに感染させるといった悪質な手口も横行しているため、暗号化 zip で送信することによるウイルス感染のリスクは高いのです。
生産性が落ちるリスク
暗号化 zip で送信すると、送信側も受信側も手間が増え、生産性が落ちるというリスクがあります。送信側は、zip ファイルを暗号化し、安全性の高いパスワードを付与した上で、2度に分けて暗号化 zip とパスワードを送る必要があり、工程が煩雑です。
また、受信側は、zip ファイルを使用するたびに、パスワードを入力しないといけません。必要なときに、必要な zip ファイルのパスワードを呼び出せるように管理も必要になるでしょう。
暗号化 zip の6つの代替案
暗号化 zip ファイルを使わず、セキュリティ対策をしてデータを送るにはどうしたらよいのでしょうか。暗号化 zip ファイルの代替案として6つの方法を解説します。
1.誤送信をできるだけ起こさない環境にする
そもそも、暗号化 zip ファイルとパスワードを2度に分けて送るというやり方は、データの誤送信をした場合のリスクを抑えるために行われているものです。したがって、誤送信をできるだけ起こさないようにすることが重要です。
まずは、個々人が十分気を付け、その上で、誤送信のリスクを緩和するメールソフトやメールサービスを利用するのが有効です。
例えば、「一時送信保留」のサービスでは、送信メールを一時的にサーバーで保留にしているため、その間に誤送信に気づけば、送信をキャンセルできます。また、「承認機能」を使い、送信メールを一度保留にして、上司などが確認した後に送信することで、誤送信を減らすことができます。
2.メールの重要度を精査する
会社のメール等でやりとりするデータは、全て暗号化 zip で送るというのが当たり前になっていませんか。そもそも全ての添付ファイルを暗号化しないといけないことはないはずです。
本当に暗号化しなければいけないのか、ファイルの重要度を精査し、必要なものにだけ、セキュリティの対策を取るようにするというやり方で見直す方法があります。
3.パスワードを同じメールで送信しない
暗号化 zip の送信で、送りたい相手以外に、パスワードが知られて内容が見られるというリスクを抑えるために、暗号化 zip ファイルのパスワードを、メールで送信しない方法があります。
まずは、強固なパスワードで zip ファイルを暗号化した上で、パスワードをメール以外の方法で送ります。例えば、メールを送った後に電話で伝える、また、相手ごとに事前にパスワードを決めてメール以外の手段で共有しておく、などです。
これによって、暗号化 zip を1通目のメールで誤送信し、気付かずそのアドレスをコピーして、パスワードも誤送信してしまうといった間違いはなくなります。メール自体が傍受されるリスクの対策として良いでしょう。
4.メールを暗号化する
電子署名を用いることでメール自体を暗号化し、セキュリティを高めることができます。S/MIME や PGP などを使うことでメールの暗号化が可能です。送信者が電子署名をすることで送信者の認証ができ、なりすましを防止できます。メールの傍受も防止でき、情報漏えいの心配がなく安心です。また、別途パスワードをかける必要がないので、手間も減ります。
5.オンランストレージを活用する
データを共有する方法としては、オンラインストレージを活用する方法があります。オンラインストレージとは、 OneDrive や Dropbox、Google ドライブ 等のインターネット上のサーバーで、ファイルを保存するサービスのことです。
オンラインストレージ上でファイルを保存し、その URL を相手に伝えることで、情報が共有できます。各種オンランストレージのプランによって、ユーザーの権限設定やログ管理などの機能も利用でき、セキュリティが担保された状態でデータの共有が可能です。
6.ファイル転送サービスを利用する
暗号化 zip でデータを送る代わりに、ファイル転送サービスを利用する方法があります。ファイルをインターネット上のサーバーにアップロードし、ダウンロード専用の URL を相手に伝えて、データを共有するやり方です。
主に、大容量のデータの送信に適しています。無料のサービスも豊富にありますが、その多くは、セキュリティが十分ではありません。有料サービスのものなら、通信の暗号化機能や、誤送信対策機能などを利用することができ、セキュリティを保てるので良いでしょう。
暗号化 zip 廃止、国内の動きは?
平井卓也デジタル担当大臣が、内閣府と内閣官房での暗号化 zip ファイルの廃止を発表しましたが、これに対しての国内の動きを紹介していきます。
内閣府と内閣官房
データ送信時のセキュリティを高める手段として、暗号化 zip が広く使われてきました。しかし、2020年11月17日の定例会見で、平井卓也デジタル担当大臣は、セキュリティ対策や利便性の面で暗号化 zip は適切でないとして、内閣府と内閣官房では、今後の暗号化 zip の利用を廃止することを発表しました。
今後ファイルを外部へ送信する際には、オンラインストレージサービスを利用すると公表しています。また、外部事業者が内閣府のシステムにアクセスするための使い捨ての URL とログインパスワードを発行することも示しています。
内閣府のシステムにアクセスできない外部事業者に対しては、暗号化 zip 等の暗号化したファイルをメールで送信し、あらかじめ決めておいたパスワードで開いてもらうようにする方針です。
民間企業
内閣府と内閣官房での暗号化 zip 廃止の方針が発表されて、民間企業がどのように対応をとっているのか例を紹介します。対応としては、大まかに3タイプ見られます。まずは、政府の発表を受けて、暗号化 zip 付きメールの送受信を完全に廃止する企業です。
次に、暗号化 zip 付きメールは完全に廃止しないが、すでに、自社で利用しているオンラインストレージがあれば、それを積極的に活用するという企業です。オンラインストレージにアクセスできない企業とファイルのやりとりがある場合は、これまで通り暗号化 zip ファイルを利用しつつも、パスワードをメール以外の手段で共有するなど、工夫をしているところがあります。
3つ目のタイプでは、特に暗号化 zip ファイルへの対応は考えていないという企業です。しかし暗号化 zip に対する自社の方針は未確定でも、他社の対応や代替案などの情報収集はしているという企業が多くみられます。
すぐ対応が難しいときは?
メール等のデータ送信で、暗号化 zip とパスワードを2度に分けて送る方法は、実際のところ、誤送信に対するリスクの軽減につながっているわけではありません。逆にウイルスへの脆弱性が高まるという問題もあるため、暗号化 zip が添付されたメールに対しては、フィルタリングをするなど、セキュリティ対応をとるのが望ましい対応です。
自社での対応として、暗号化 zip でのデータ送信を廃止するにはコストと時間を要します。したがって、すぐには難しい場合や、他社が暗号化 zip とパスワードを送信する方法をやめないという場合、暗号化 zip の手段は残しつつ代替案を積極的に活用して対応する、という方法があります。
例えば、すでに自社でオンラインストレージを使用している場合、データ共有のメインツールとしてそれを活用すれば、暗号化 zip の代替案として取り入れやすいでしょう。
まとめ
セキュリティを担保する方法として暗号化 zip ファイルとパスワードを分けて送る方法が普及していた中、政府の暗号化 zip ファイルの廃止を受けて暗号化 zip に潜むリスクが注目されるようになりました。
SBテクノロジーでは、Office 365 に特化したクラウド型メールセキュリティサービスの Mail Safe を提供しています。柔軟な条件設定と、アプリ、モバイルなどのマルチな利用形態で運用可能なオールインワン誤送信防止ソリューションです。
また、暗号化 zip ファイルの代替利用にも適しています。しっかりしたセキュリティで、安心してメールを利用できる SBテクノロジーのサービスをぜひご活用ください。