EN

メールマガジン登録
資料ダウンロード
お問い合わせ

NRIセキュア ブログ

脱PPAP?「パスワード付きzipファイル」の⽂化からどう脱却するべきか

目次

    PPAP3

     2020年11月17日、平井卓也デジタル改革担当相は定例会見で、中央省庁の職員が文書などのデータをメールで送信する際に使う「パスワード付きzipファイル」を廃止する方針であると明らかにしました

     

     河野太郎行政・規制改革担当相との対話の場で平井氏は「zipファイルのパスワードの扱いを見ていると、セキュリティレベルを担保するための暗号化ではない」と指摘し、河野氏が推進する押印廃止になぞらえ、「全ての文書をzipファイル化するのは何でもはんこを押すのに似ている。そのやり方を今までやってきたからみんなやってたと思う」として全廃することを決めました。

     

     押印同様、日本国外ではほとんど見られないメール添付時の「パスワード付きzipファイル」ですが、官民問わず多くの現場で行われています。最近では「PPAP:Password付きzipファイルを送ります、Passwordを送ります、An号化(暗号化)Protocol(プロトコル)(※)」などと揶揄されたりと、セキュリティ対策の現場では現在のパスワード付きzipファイル運用(以下、PPAP運用)の危険性は常識とされてきたものの、これまであまり社会問題化することもなかったため対策が進んでいませんでした。

     

     平井氏の会見を受け、今後民間企業も巻き込んだある種社会問題と化し、現在のPPAP運用に代わる本質的なファイル送信のセキュリティ対策に悩まれる企業が増えるのではないでしょうか。

     

     本記事では、PPAP運用がなぜ『セキュリティレベルを担保するための暗号化ではない』のか、セキュリティレベルを担保するにはどうすればいいのかについて解説します。

     

    ※日本情報経済社会推進協会に所属していた大泰司章氏(現・PPAP総研)によって問題提議・命名

     

    新規CTA

     

    パスワード付きzipファイル(PPAP運用)とは

     パスワード付きzipファイルとは、主に社外にファイルをメール送信する際に用いられるファイル暗号化方法です。前述の「PPAP」ともいわれるこの運用方法は次のステップで行われます。

    1. 送信者は、添付ファイルをパスワード付きzipファイルで暗号化し、メールに添付して送信する。

    2. 送信者は、1.で送信した添付ファイルのパスワードを、別途メールにて送信する。

    3. 受信者は、送信者から受け取った添付ファイルとパスワードによってファイルを復号化し、中身を得る。

     

     本記事では、特に2.におけるパスワードの送信を1.の添付ファイルと同一のメール経路で続けて送信する、現在一般的に行われている方法を狭義のPPAP運用として扱い、解説していきます。

    なぜPPAP運用はダメなのか

     現在行われているPPAP運用は、添付ファイルのパスワードを添付ファイルと同じくメールを使って(同一経路で)送信してしまうことがセキュリティ的に意味をなさない原因となっています。この問題構造は、最近耳にすることも多くなってきたネットサービスの本人確認における「二要素認証」の役割と近いこともあり、まずはこちらを例示して説明してみたいと思います。

     

     例えばクラウドサービスにログインするとき、パスワードを入力した後、スマートフォン宛てにワンタイムパスワードが書かれたSMS(ショートメッセージ)が送られてきた経験はないでしょうか。ネットサービスでは本当に本人がログインしているかを正しく認証するため、文字列を知っていれば誰でもログインできるパスワードだけでなく、本人のスマートフォンに送ったワンタイムパスワードの入力をもって本人の確からしさを認証しているのです。


     ここで二要素たるゆえんは、本人しか知らないパスワードを知っているという要素(知識)と、SMSを通じて本人が契約するスマートフォンを持っているという要素(所有)の二種類の要素で本人を認証することにあります。攻撃者が本人を偽るには、パスワードとスマートフォンの両方を奪取していないと突破できないことから認証強度を高める対策として利用されています。


    図1

     一方で、現在のPPAP運用は、添付ファイルとそのパスワードを「メール」という仕組みで送っているため、誤解を恐れずに言えば単一の要素でしかないのです。攻撃者がメール添付したファイルを復号化するには、メールという単一の要素を攻撃すればよいことになり、わざわざzipファイルに暗号化した手間をかけているのに『セキュリティレベルを担保するための暗号化ではない』というわけです。

     

    2a

     別の問題として、パスワード⾃体の弱さも挙げられます。ある調査レポートでは、一般に市販されているPCパーツとツールを用いてzipパスワードの解析にかかる時間を調査しています。調査結果によれば8桁のパスワードであっても、英大小文字+数字(62文字種)で解析にかかる時間は15時間、英小文字のみ(26文字種)ならたったの52秒です。

     

     概ね10桁以上の十分複雑で長いパスワードを設定していなければ、パスワードを別経路で伝送してもセキュリティ面での効果は低いのです。

    なぜPPAP運用がなくならないのか

     本質的にはセキュリティレベルを担保するものではないにもかかわらず、なぜPPAP運用がなくならないのでしょうか。いくつか考えられるポイントがあります。

    誤送信してしまったときに取り返しがつく?

     メールを送信してから、宛先を間違えたり添付ファイルの中身を間違えたりといった誤送信にヒヤッとした経験はないでしょうか?当社が毎年調査しているデータでも、セキュリティインシデントのトップは常にメールやFAXの誤送信といったヒューマンエラーでした。

     

     添付ファイルを送ってからパスワードを送信するまでの間に、なにか間違いに気づけばパスワードを送らないことで後からでも「取り返しがつく」状態になるというわけです。ただしこれは誤送信対策であって、PPAP運用が本来守りたかった暗号化によるファイル送信のセキュリティ対策とは別問題です。

    Pマーク(プライバシーマーク)やISMSの審査のため?

     PマークやISMSの審査基準の中には、個人情報や機密情報の安全管理措置に関する審査項目もあり、審査基準を満たすには、対応するセキュリティ運用が適切に行われている必要があります。

     

     ファイルの安全なやり取りの方法としてPPAPを社内ルールとして規定している企業もあるようです。2012年にはIPAでも推奨する方法の一つだったようですが、PPAPがセキュリティ対策として機能するのは、「十分長くて複雑なパスワード」を、「メール以外の経路で伝達する」ことが前提になります。形だけのPPAP運用では、セキュリティレベルを担保することにならないことは前述のとおりです。


    ※個人情報をメールでやり取りする危険性については、こちらの記事でも解説していますので、ご参照ください。

    今さら聞けない「個人情報」の取り扱い。意外にも知られていない「メール」の怖さ

    メール誤送信対策にzip暗号化が含まれている?

     メール誤送信による情報漏洩事故は国内でも頻繁に起こるセキュリティインシデントです。宛先や添付ファイル間違いを防止するためのツールとして、多くのベンダーからメール誤送信対策系ソリューションが提供されております。その中には、添付ファイルを⾃動でzip暗号化し、パスワードも⾃動で送ってくれる機能が含まれている製品も存在します。

     

     zip暗号にセキュリティ的なメリットはなくても、誤送信対策としては機能していることから、zip暗号化だけやめることが難しいのも現状ではないでしょうか。


     誤送信対策としては次のようなものがあげられますが、PPAP運用で守ろうとしていた暗号化によるファイル送信のセキュリティとは本来切り離して考えるべきものです。

     

    • 主な誤送信防止機能

       

    • ■宛先(TO、CC、BCC)再確認注意機能
      宛先の再確認を促す注意メッセージを表示し、OKをクリックして確認する

      ■送信取り消し機能
      送信ボタンを押してから、実際に送信されるまでを一定時間遅延させ、その間にミスに気づけば送信を取り消しできる

       

      ■上長承認機能
      添付ファイルがついているなど一定の条件があると承認待ち状態となり、設定された上長の承認がないとメール送信されない

     

    ※メール誤送信についてはこちらのコラムで解説していますのでご参照ください。

    【メール誤送信を徹底解説】普段の防止策から「やってしまった」時の対処法まで

    やっぱり…多くの企業で使われているから?

     皆さんが普段仕事でメールをやり取りをしていると、取引先からメールでパスワード付きzipファイルとパスワードが送られてくることも多いと思います。結局これに尽きるのかもしれませんが、「みんなもそうしているから」というPPAP利用の実績が目に見えるためか、PPAP運用をやめるモチベーションにはなりにくいのかもしれません。

    ファイルを安全に送るにはどうすべきか

     ここまで解説してきた通り、外部へのファイル送信は「誤送信対策」と「ファイル送信手段の安全管理措置」を切り離して検討すべきです。「ファイル送信手段の安全管理措置」としては、主に次のような方法が挙げられます。

     

    ※マイナンバー取り扱い業務における安全管理措置についてはこちらの記事で解説していますのでご参照ください。

    メール、暗号化、郵送……、マイナンバーの運用で法人が使える受け渡し手段は?

    zip暗号化はそのままに、安全にPPAP運用を行う

     現状のPPAP運用は、脆弱なパスワードを同一のメール経路で続けて送ってしまうことが問題となっています。zip暗号化を維持したまま、PPAP運用のセキュリティレベルを向上するには、「十分長くて複雑なパスワード」を、「メール以外の経路で伝達する」ようにしましょう。

    メールの通信経路をS/MIMEで署名・暗号化してファイル送信する

     S/MIMEとは、電子メールのセキュリティを向上する暗号化方式のひとつで、電子証明書を用いてメールの暗号化とメールへの電子署名を行うことができます。S/MIMEを利用すれば安全にファイルを送信できることになりますが、送る側と受信する側双方がこの方式に対応し、運用するように準備しておかなくてはならないという条件があります。現在のところS/MIMEはあまり普及していないこともあり、現実的には選択肢になりにくいでしょう。

    ファイル転送系クラウドサービスを利用する

     これはメールではなく、クラウドサービスという別の経路からファイルを送信する方法です。送りたいファイルをクラウドサービス上に保存し、送りたい相手にURLリンクを送信。受信者はそのリンクからクラウドサービスにアクセスし、認証認可した後にファイルを閲覧・ダウンロードする仕組みです。


     クラウドまでの通信経路はSSL/TLSによって暗号化し、クラウド上では保存しているデータを暗号化して保存します。クラウドサービスへのアクセスにはパスワードログインなどの認証によって不正利用を防ぐことが可能です。

     

     NRIセキュアテクノロジーズではセキュリティ重視の法人向けファイル転送クラウドサービス「クリプト便」を開発・提供しています。ご利用いただいている企業は、セキュリティへの意識が高い金融機関が半数を占めているほど信頼性が高く、誤送信防止とファイル送信手段の安全管理措置の両方を高度に実現できるソリューションです。

    まとめ

     平井卓也デジタル改革担当相が述べた方針を受け、今後中央省庁で行われていたパスワード付きzipファイル、いわゆるPPAP運用が廃止される見込みです。これを受け、民間企業でもPPAP運用の脱却を本格的に検討しなければならない時期が来るのではないでしょうか。来るべき時に備え、ファイルを安全に外部に送るにはどうすべきか、下記を参考に整理してみてください。

     

    表1

    表2

     NRIセキュアではクリプト便をはじめ、BoxFinalCodeなどファイルを安全・便利に届けるためのソリューションを取り扱っております。お客様が扱うファイルの機密度と、ビジネス要件に合わせて、最適な解決策を共に検討いたしますので、PPAP運用からの脱却など、お困りの際にはぜひお気軽にお問い合わせください。

     

    新規CTA

    新規CTA