政府、パスワード付きZIP廃止へ パスワードはあとで送るは、一体なぜダメなのか

平井卓也デジタル改革担当相は2020年11月17日、中央省庁の職員を対象に「パスワード付きZIPファイル」の送信ルールを廃止する方針を明らかにしました。政府の意見募集サイト「デジタル改革アイデアボックス」に投稿された意見を採用したものです。

話題になりましたし、ご存じの方も多いと思います。
面倒ですし、意味あるのかなって思っていた人もいると思います。
しかし、なぜ、「パスワード付きZIPファイル」の送信ルールはだめなのでしょうか?

圧縮ファイルをメール送信し、パスワードは次のメールで送信するのは何がだめなのか?

問題は、メールのセキュリティをすり抜けてるというところにあります。企業が利用するメールのセキュリティソフトは、メール本文に書かれたURLや添付ファイルのスキャンを実行してくれます。
EXCELのマクロなどもスキャンしマルウェアが仕込まれているかどうかを確かめたり、また、ZIPファイルの中身を展開してスキャンもしてくれるものもあります。
セキュリティソフトによっては、パスワード付きZIPファイルを展開できなかったり、中にはパスワード付きZIPファイルをスキャンせずにスルーするものもあります。
誰もがやらされてたZIPファイルにして送信するという慣例になっていたことが、スキャンされないセキュリティソフトを使っていた企業にとっては、攻撃者にとっては狙い目となっています。

実際のところ、パスワード付きZIPファイルの添付は、パスワードもメールで送信しているので、メールが“盗聴”された場合、手間がかかっている割ににまったく意味がありません。

代わりはクラウドサービス

「圧縮ファイルをメール送信し、パスワードは次のメールで送信する」に変わるものは何になるのでしょうか?
これは、Google DriveやDropBoxなどのクラウドストレージを利用し、アクセス権を設定し、相手にファイルを届ける方法があります。
ファイル共有のURLを「期限付き」に設定するなど、利用範囲を設定することで、漏洩をリスクを減らすことが可能です。

古く、意味のない慣例となっていることは改善しましょう

些細なことかもしれませんが、意味がないと思いつつ、なかなかやめれなかったことが、政府が廃止するとなると、一斉に代ってくると思います。
この流れに乗って、無駄となっていることを見直し、業務を改善していきましょう。

コメントを残す