大手IT企業がパスワード付きZIPファイル添付メールを利用し続ける理由
ご存知の通り、平井卓也デジタル改革担当相は11月17日の定例会見で、中央省庁の職員が文書などのデータをメールで送信する際に使うパスワード付きzipファイルを廃止する方針であると明らかにした。
霞が関でパスワード付きzipファイルを廃止へ 平井デジタル相
ちょうどこの会見の2週間ほど前に、某先進なニッポンのIT企業(従業員2万人規模)からパスワード付きZIPファイルが送られてきて、(めんどくせーなと思いながら)何故パスワード付きZIPファイル+続けてパスワード送付をするのか、問い合わせてみたところ、同じ11月17日に回答をいただいた。
以下全文を掲載する。
PPAPに関するシステム見解
メールにファイルを添付する場合、パスワード付ZIPファイルに変換した上で送信し、その開封パスワードは別送する、といういわゆる「PPAP手法」については、システム部門として下記の通り意義があると考えております。
総論:PPAP手法がセキュリティー対策として完全でないことは認識するが、完全な防御手段が他に存在しない中、情報防御の手段及びコンプライアンス対応として必須と判断する。詳細
1. 技術的見解
現在活用しているツールは、メールの添付ファイルを自動的にZIP変換した後に送信し、更に若干の時間間隔をあけて開封パスワードを別送する仕組みとなっている。(時間間隔は、管理側で設定変更可能)
一方、悪意の第三者によるメール傍受のほとんどは、ある瞬間の通信網上のメール情報全てを奪取するものであり、別送信されるパスワード通知メールも同時に奪取されることは起こりえず、一定のセキュリティー効果が期待できる。
また、受信側が誤って転送した場合の情報漏洩防止や、発信者が誤送信に気づいた場合、パスワード送信前に訂正・取消できるなど、副次的な効果も存在する。
2. 国内諸資格関連制度への対応
個人情報関連資格を中心に、メール添付ファイルへのパスワード運用が要件となる場合がある。
例えば、プライバシー・マーク資格では、取得・更新時の安全管理措置として、メールの添付ファイルの暗号化、パスワード付与を強く推奨している。
3. 企業としてのスタンス
添付ファイルにパスワードを付加することは、日本企業のメール通信においては既にデファクト・スタンダード化しており、本施策をやめることは、効果の有無とは無関係に企業イメージ棄損につながることが予想される。
4.その他
極秘情報・関係者外秘情報は、リスクを伴うメール送信は基本的に利用せず、専用のファイル・サーバーやオンライン・ストレージサービスの利用を推奨しており、メールへの添付は代替手段である。その為、特に顧客等から依頼・要求が出た場合には、上記への切替を、システム部門としても推奨・支援する次第である。
要は、これまで続けてきており、彼らのお客様も使っているので(ひょっとしたら、PPAPシステムをお客様に提案・導入したから?)、止められない、ということのようだ。
一方で同じ11月17日の政府会見では、
全ての文書をzipファイル化するのは何でもはんこを押すのに似ている。そのやり方を今までやってきたからみんなやってたと思うし、メール内容をスマホで見れないのは致命的だ。
と述べられており、先進的IT企業の保守的なスタンスとは対照的である。
前例踏襲ではない、トランスフォーメーションを是非進めていきたいものだ。そのためには、1企業の見解を聞くだけではなく、広く情報を集め、決して保守的にならず、5-Whys (何故を5回繰り返す)を実践したい。