パスワード付きzipファイルが”Pマーク取得に必須”は間違い 「従来から推奨もしていません」と運営協会 | キャリコネニュース - Page 2
おかげさまで10周年 メルマガ読者数
65万人以上!

パスワード付きzipファイルが”Pマーク取得に必須”は間違い 「従来から推奨もしていません」と運営協会

パスワード付きzipファイルは、企業間や行政機関とのやり取りで取り入れている情報セキュリティ対策の一つ。パスワード付きzipファイルと、そのパスワードを別に送付するという段階を踏むことから、

「P」assword付きzipファイルを送ります
「P」asswordを送ります
「A」n号化(暗号化)
「P」rotocol(プロトコル)

とそれぞれの頭文字を取って「PPAP」と呼ばれることもある。

わざわざ別のメールを開いてパスワードを確認し、入力する手間があることに加え、zipファイルとパスワードを同一経路で送るので、攻撃者に対してはセキュリティ上の意味をなさないと指摘されてきた。また、zip解凍ソフトが必要になるため、モバイル端末でファイルを扱いにくいのも大きなデメリットだ。

ところが、日本情報経済社会推進協会が運用する「プライバシーマーク(Pマーク)を取得するためには、パスワード付きzipファイルの使用が必須」と思っている人も多いようだ。ツイッター上では「パスワード付きzipファイルなんて、Pマーク取得のため仕方なくやってる」「やめたくてもやめられない。Pマークがあるから嫌でもやってる」という声が複数みられた。

同協会は、キャリコネニュースの取材に対して

「『Pマークを取得する際にパスワード付きzipファイルを使うことが必須となっている』という事実はありません」

と完全に否定する。それどころか、メールの誤送信などによる個人情報の漏洩を防げない観点から、従来から推奨していないという。

パスワード付きzipファイルは”役割を終えた”

ITジャーナリストの井上トシユキさんは、パスワード付きzipファイルについて「”役割を終えた”という言い方をしてもいいと思います」と話す。かつては添付ファイルにコンピューターウイルスが付いていることが多く、これを防ぐのには一定の役割があったという。だが、昨今については

「今のハッキングは、前段階で正確なIDとパスワードを手に入れた後に泥棒に入っている状況です」

と説明する。企業内である程度の中枢におり、ルート権限を握っている人のIDやパスワードを入手した上で、社内や取引先、顧客の個人情報を抜き取られるケースが多いといい、zipファイルについても「パスワードが付いているからといって安心ではない」と指摘した。

現在は添付ファイルを事前にスキャンして、事前にウイルスの有無を調べる機能を導入しているプロバイダもある。

「大企業や官公庁では自前の回線を用意し、メールサーバーの中にもセキュリティソフトを入れているでしょう」(井上さん)

と話し、やはりパスワード付きzipファイルを使い続ける必要はないとした。

未だWindows2000使用する部署も……菅政権で官公庁のデジタル化が一気に進む?

井上さんは「ゆくゆくは何でもタブレットなどのモバイル端末に変化し、それがやがてウェアラブル端末になっていくでしょう」と予測する。社内のやり取りに関してはすでにクラウドに移行している企業も多く、政府でもアマゾンウェブサービス(AWS)の運用が始まっていることは既報の通りだ。

一方、現状は勘定系システムなどをはじめ、まだデスクトップが主流の官公庁や企業も多い。

「官公庁はいまだにFAX文化だったりもします。『Windows2000を使っている部署がある』という話も聞いたことがあります。もう20年前のOSですが、更新にまで手が回っていないのです」

菅首相は2025年までに行政のデジタル化を行う方針を明かしており、マイナンバーカードの情報をスマートフォンに搭載する仕組みなどを検討している。その過程では当然、官公庁で使用している機器の更新も必要になってくるだろう。井上さんは

「河野大臣が進める押印廃止と並んで、菅政権のアピールにつながることは間違いないでしょう」

とパスワード付きzipファイルの廃止には、一定のアピール効果もあるとみている。「中継ぎ」「次の選挙まで」と揶揄された菅政権が”デジタル化の基礎をつくった内閣”と評価される日は来るのだろうか、注目してみたい。

【PR】注目情報

関連記事

次世代バナー
次世代バナー

アーカイブ