クイズ「情シス部門が知っておきたいテーマ」
パスワード付きZIPファイル“PPAP”はなぜ廃止になった?
2021年2月
クエスチョン
国が廃止を決めたパスワード付きZIP。やめた理由で間違っているのは?
- 廃止に賛成する国民が多かった
- メールの内容をスマホで見られない
- セキュリティ対策として適切でない
- パスワードを送る手段がメールしかない
アンサー
4. パスワードを送る手段がメールしかない
解説
重要なファイルをメールで安全に送りたい場合、そのファイルをパスワード付きZIPファイルに圧縮して送り、続けて別メールでパスワードを送るという方法があります。通称「PPAP:(P)パスワード付きZIP暗号化ファイルを送り、(P)パスワードを送る、(A)暗号化、(P)プロトコル」とも呼ばれる方法です。盗聴や誤送信対策になり、かつ、特別なツールは不要という手軽さから、民間企業や官公庁で主に外部へのファイル送信に用いられてきました。
しかし、政府は2020年11月26日から内閣府、内閣官房でこのPPAPを廃止すると発表しました。理由はセキュリティ対策や受け取り側の利便性の観点から適切でないというものです。
PPAPのセキュリティ問題でまず挙げられるのが、パスワードの送信です。メール本文にそのまま記載して相手に送るため、暗号化せず平文であり、誰でも読めてしまいます。そして、パスワード付きZIPファイルも同じ経路のメールで送るため、もし、悪意ある第三者に盗聴されたらファイルもパスワードも相手に渡り、中身を見られてしまいます。こうしたリスクを低減するためには、メール以外の手段でパスワードを送ることが求められます。しかし、電話やFAXなどでパスワードを伝えるのは、あまり現実的ではないでしょう。
そもそもパスワード付きZIPファイルは、誤ったパスワードを何度でも入力できてしまうなど、セキュリティ対策にあまり向いていません。さらに大きな問題はマルウエアへの防御力の低下です。パスワード付きZIPファイルはウイルス対策ソフトのチェックをすり抜けてしまうので、マルウエア感染のリスクが高まります。
利便性の観点では、近年はスマートフォンでメールを確認する人が増えています。iOSもAndroidも、標準機能ではパスワード付きZIPファイルを見ることができません。わざわざ専用ツールをインストールする必要があったり手間が増えたりして、業務効率が低下してしまいます。セキュリティや利便性の問題が広く知れ渡り、政府のデジタル改革関連法案準備室による意見募集のWebサイト「デジタル改革アイデアボックス」に廃止の意見がいくつも寄せられるなど、国民の多くが廃止に賛成するようになりました。これらの背景から内閣府と内閣官房ではPPAPを廃止しました。
外部へのファイル送信は、現在ではオンラインストレージサービスの活用が推奨されています。いうまでもなく、送る側も受け取り側も安全に利用できるよう、適切なID/パスワード管理、2段階認証、SSLによる通信の暗号化など、強固なセキュリティを備えたサービスを採用することは大前提となります。ドラッグ操作でファイルを送受信できるなど利便性も高く、重要なファイルを安全かつ手軽にやりとりできます。
PPAP廃止とオンラインストレージサービスへの移行の流れは、他省庁にも広がりつつあります。企業でもPPAPを使っているのなら、早急に移行するのがよさそうです。
Tips
重要なファイルの外部への送信は今後、以下の方針で行おう。
- オンラインストレージサービスを活用
- 2段階認証や通信経路の暗号化などを採用したセキュアなオンラインストレージサービスを採用
- どうしてもパスワード付きZIPファイルを使わざるを得ない状況なら、パスワードはメール以外の方法で送る
クイズ「情シス部門が知っておきたいテーマ」
- なぜ迷惑メールは増え続けるのか?
- 設定してはいけないパスワードのタイプは?
- 一定回数間違えた場合に、ロックすれば不正ログインは完全に防げる?
- MITB攻撃で実際にあう被害は?
- 遠隔操作ウィルスによる犯罪は?
- セキュリティの新しい国家資格は?
- Miraiウイルスの主な感染先は?
- セキュリティ研修はどう実施すべき?
- 標的型攻撃メールの被害を受ける要因は?
- 内部不正による情報漏えいはどんな立場の人が多い?
- 働き方改革を加速させるフリーWi-Fi。便利だけど、どんな脅威がある?
- AIとIoTのエンジニア育成に注力する省庁は?
- 大手コンビニに導入予定の認証技術は?
- 今年最も懸念されるセキュリティの脅威は
- スマホがウイルスに感染? その兆候とは
- ヤフーが新たに採用した認証方式とは?
- QRコード決済が乱立。解決を主導する省庁は?
- あと数年で何が起こる!? ITシステム「2025年の崖」とは?
- 今後は実施が必須!? 「サイバー防災訓練」とは
- ブラウザに「これってサポート詐欺?」と思う警告画面が出てきたら?
- フェイスブックが新たに発表した仮想通貨の名称は?
- 被害急増中! モバイル利用者を狙うフィッシング攻撃の手口とは?
- 変化するマルウエア。2019年秋頃から被害が増えているのは?
- Webブラウザに未修正の脆弱性が! どんな攻撃を受ける?
- 企業の無線LANのセキュリティ対策で正しくないのは?
- IPAの情報セキュリティ10大脅威。2020年の個人部門1位は?
- スマホを水中に落とした!水から引き上げたらまずやるべきなのは?
- メガネ型のウェアラブルデバイス、○○グラスとは?
- 急増するウイルスへの感染を狙う攻撃メール。ウイルス感染対策はどうする?
- 2020年秋から攻撃急増!「Zerologon」とはどんな攻撃?
- パスワード付きZIPファイル“PPAP”はなぜ廃止になった?
- 知らぬ間に、Googleに保存していた大切なデータが消えている!?
- IoTと何が違う!? 次世代のトレンド「IoB」とは
- パスワード流出で何が起きる? どう防げばいい?
- 手をかざすだけで触っている感覚が得られる技術とは?
- 今の時代、プログラミングの知識ゼロでもアプリを開発できる!?
- 最近トレンドの「何も信頼しない」が前提のセキュリティとは?
- これなら安全! 2種類以上の方法による認証方式とは?
- 何が違うの? 電子契約に欠かせない「電子印鑑」と「電子署名」とは
- アプリケーションを誰でも使いこなせるようにする仕組みとは?
- 行政サービスを国民一人ひとりが享受できることを目指し、政府が進めているデジタル化の取り組みとは?
- Windows 10のサポート終了はいつ? 何が困る?
- 最先端技術を活用して未来都市を実現する日本政府の構想とは?
- 本人と見分けつかない!? 偽動画によるビジネス詐欺に注意