2021.03.5

PPAP問題(パスワード付ZIP圧縮)について

昨年末ごろのニュースですが、平井デジタル改革担当相が記者会見で、情報漏洩を防ぐためにZIP圧縮したデータをメールで送り、その後、パスワードを送る方法(いわゆるPPAP)について、内閣府、内閣官房で廃止すると発表されました。

 

具体的に何が問題なのか?以下の点が指摘されています。

1.パスワードで保護されているので、ウイルス対策ソフトでチェックができない。(最近のランサムウェア等はZIP圧縮されたファイルを送付する場合もあります)

2.同じアドレス宛に、後からパスワードが送られるので、盗聴されたら意味がない。

3.Zipにつけるパスワードの強度が低い

 

では、PPAPに代わる対策として何をすればよいのか?いくつかの手段をご紹介します。

・ S/MIMEでファイルを送信する

・ クラウドストレージでファイルを共有する(政府もこの方法を利用します)

・ パスワードを事前に決めておく。或いは、別の手段(メールではなく電話で伝える等)で伝える

・ 専用ソフトウェアで対応

 

 

それぞれにメリットデメリットがあります。S/MINEの場合、送信者・受信者双方がそれに対応している必要があります。またパスワードを事前に決めておく場合、忘れないように(かつ他者に漏洩しないように)取り扱う必要があります。別の手段で伝える場合においても、パスワードは10桁以上の複雑性を持たせる方が良いので、口頭で伝えるのは、余計に手間がかかります。

 

それらを踏まえると、Dropboxなどのクラウドストレージを利用してファイルを共有する方法がおススメされます。内閣府においても、ストレージサービスを利用してファイルを共有するそうです。ただ、どうしてもクラウドの利用が許されない場合には、事前に決めたパスワードを使ったり、電話で伝えたりする方法がベタです。

 

データを送受信する為にクラウドストレージを導入するのはちょっと・・・という場合には、ソフトウェアを利用した解決策もあります。デジタルアーツ社が提供する「m-FILTER」と「Final Code」です。

パスワード付ZIP圧縮メールを受け取る場合には、フィルタリングしたり偽装判定が可能です。また、添付ファイルを送信する場合には、パスワード不要で暗号化と受信者は自動で開封。しかも閲覧権限がある受信者しか閲覧できず、さらにファイルを後から削除することも可能な仕組みで、両者間の安全なデータのやり取りを実現します。

PPAP対策が可能な「m-FILTER」の「暗号化強固オプション」を2021年2月25日提供開始(https://www.daj.jp/bs/lp/zipencryption/)