2020年11月24日デジタル改革担当相が、メールでパスワード付きファイルを送り、パスワードを別送する方法（PPAP）を内閣府および内閣官房で廃止する方針を発表しました。パスワード付きzipファイルでのファイル共有は、企業がファイルをやり取りするスタンダードな手段でしたが、近年のサイバー攻撃に対するセキュリティ対策としては不十分と判断された結果です。そこで本コラムでは、パスワード付きzipファイルはなぜ脆弱なセキュリティ対策であるのかを含め、この方法を今すぐやめるべき理由を確認しながら、その代替手段にはどのようなものがあるのかについて解説します。

パスワード付きzipファイルとは

まずは、パスワード付きzipファイルによるファイル共有とはどのようなものかをおさらいしておきましょう。

パスワード付きzipファイルとは、情報を記録したファイルを圧縮する際に解凍するためのパスワードを設定したzipファイルのことです。パスワードを知らなければzipファイルを解凍できないため、情報漏えいを避けられるというファイル共有方法として利用されています。

また、解凍するためのパスワードは別途メールで送付するので、zipファイル本体を送ったメールがハッキング被害に遭っても情報を守れる、というセキュリティでした。

パスワード付きzipファイルを送付する方法

パスワード付きzipファイルとパスワードの送付は、次のような方法で行われます。

【送信者】

• ①Excelなどのデータファイルを圧縮（zipファイルの作成）
• ②圧縮する際にパスワードを設定
• ③パスワード付きzipファイルの完成
• ④パスワード付きzipファイルをメールで送信
• ⑤解凍するためのパスワードを別メールで送信

【受信者】

• ⑥パスワード付きzipファイルが添付されたメールを受信
• ⑦解凍するパスワードが記載されたメールを受信
• ⑧パスワード付きzipファイルをダブルクリック
• ⑨メールでパスワードを確認して、解凍するためのパスワードを入力
• ⑩データファイルを確認・編集

パスワード付きzipファイルがセキュリティ対策として弱い理由

このようにある程度の手間がかかるパスワード付きzipファイルですが、なぜセキュリティ対策として脆弱なのでしょうか。その理由を見ていきましょう。

情報の漏えいリスク

パスワード付きzipファイルとパスワードは別のメールに添付してそれぞれを送付します。しかし、メールが送信される経路は同じであるため、その経路がハッキング被害にあった場合にはファイルとパスワード双方のメールが盗聴される可能性が高く、情報漏えいのリスクがあります。

ウイルスチェックができない

zipファイルにパスワードがかかっていた場合、ファイルを受信した側のパソコンでウイルスチェックができない可能性があります。ウイルス対策ソフトによっても機能が違いますが、だれもがパスワード付きzipファイルを検査できるウイルスチェックソフトを使っているわけではありません。

パスワード付きzipファイルのウイルスチェックができないパソコンがある可能性を考えれば、ウイルスに対するセキュリティ対策としては脆弱だと言わざるを得ないでしょう。

ファイル共有の代替手段

これまでパスワード付きzipファイルでファイル共有を行っていた場合、セキュリティ面を考えると企業でもその方法を変えなければならないでしょう。ここでは、パスワード付きzipファイルの代替手段を見ていきましょう。

電話でパスワードを伝える

根本的なファイル共有手段を変えるべきですが、共有先の相手が同じファイル共有手段に対応していなければ成り立ちません。どうしてもパスワード付きzipファイルでのやり取りが必要な場合は、パスワードをメールではなくて電話で伝えるという方法もあります。ただし、手間がかかる上に非効率であることは否めません。

受取側が事前にパスワードを決めておく

パスワード付きzipファイルでのやり取り方法を変えられない場合には、ファイルを受取側があらかじめパスワードを決めておくという方法もあります。

受信側が決めたパスワードをあらかじめ送信側が聞いておき、パスワード付きzipファイルを作る際にはそのパスワードを利用するといった手順です。これで、パスワード付きzipファイルとパスワードが同じ経路を通るメールで流れることはないので、情報漏えいに対するリスクは軽減される可能性はあります。しかし、パスワードを忘れた場合の手間を考えると、あまり効率的な方法ではありません。

ビジネスチャットを利用する

近年、ビジネスで利用できるチャットツールを導入している企業も増えました。チャットツールは、テキストだけではなくファイルのやり取りもできるため、ファイル共有手段として利用できます。多くのチャットツールの場合には、添付ファイルはチャットサービスを提供するクラウドストレージに格納されます。

ビジネス用チャットとして提供されているアプリケーションなので、最低限のセキュリティも期待できるため、パスワード付きzipファイルのやり取りよりもセキュリティ面に配慮したファイル共有方法だといえるでしょう。

簡単な、容量が大きくないファイルのやり取りならば、パスワード付きzipファイルの代替手段としては手軽で簡単に利用できる方法です。

クラウドストレージの共有リンクを利用する

ファイル共有の方法として広がっているのが、クラウドストレージを利用した共有方法です。

共有したいファイルをクラウドストレージにアップロードして、相手にURLを伝えるだけでファイル共有が完了します。

ファイル転送サービスを利用していたときのような一時的なファイル共有が必要な場合であれば、共有URLに有効期限が設定できるサービスが有効です。

パスワード付きzipファイルのように、送信者と受信者がそれぞれに圧縮・解凍をしなければならないという手間も減り、効率的なファイル共有が実現できます。

パスワード付きzipファイルの代替手段として、クラウドストレージの活用はおすすめです。

クラウドストレージやその選定ポイントについては、「クラウドストレージとは？企業組織クラウドストレージを利用するメリットや選定ポイントを解説」で詳しく解説していますので参考にしてください。

パスワード付Zipファイルでの共有を見直しましょう

パスワード付きzipファイルでのファイル共有は、セキュリティ面の脆弱性を考慮して今後の使用は控えたほうがよいでしょう。その代替手段としては、パスワードだけをメール以外の手段で伝える方法などもありますが、もっともシンプルで効率的な方法はクラウドストレージを利用することです。ビジネスシーンでも企業内、あるいは企業間でクラウドストレージの導入は増えており、クラウドストレージを提供する各ベンダーもビジネス利用を想定した法人向けプランを出しています。現在でもパスワード付きzipファイルのやり取りをしているならば、このタイミングでクラウドストレージの利用を開始してはいかがでしょうか。