添付ファイルのZIP暗号化はなぜ実施するのか

株式会社エアー 今田 英和

添付ファイルのZIP暗号化について、情報処理機構(IPA)および情報サービス産業協会(JISA)は以下のように発表しています。(2019年10月時点)

●IPAが公開している電子メール利用時の危険対策のしおりの記載 
——
「電子メールの暗号化は、誤送信防止のためというよりは、誤送信してしまった場合の防衛策となりますが、
セキュリティ上は、電子メールや通信の盗聴などの不正アクセス対策にもなりますので、
普段からいろいろ試しておくことが良いかもしれません。」
https://www.ipa.go.jp/security/antivirus/documents/07_mail.pdf P11より 
※1

●JISAにおけるプライバシーマーク審査項目のセキュリティ対策として記載
——
【第23条】
「個人情報を含む添付ファイルを取扱う際に、
セキュリティ対策(データの暗号化、パスワード設定など)の措置を講じることを新たに追加した。」
https://www.jisa.or.jp/service/privacy/tabid/831/Default.aspx?itemid=31

こうした情報を参考にして、「メールの暗号化」より負担が少なく実施しやすい、
「添付ファイルの暗号化」を実装するという対応が多いのではないでしょうか。
しかしユーザ自身、もしくはシステム上でZIP暗号化を実施しようとして
下記のような手順を踏む場合は注意が必要です。

 ① 添付ファイルは暗号化して送信する。
 ② 復号用のパスワードは、後追いでパスワードをメールで送信する。

メール本体のみで考えると添付の暗号化がなされているので、通信経路で盗み見られたとして開くことはできませんが、
通信上でパスワードまで盗み見られれば結果、見れてしまうわけです。

誤送信対策の観点で言えば、セキュリティ対策として簡単に有効な対処ができるのかもしれませんが
添付のZIP暗号化を実施していても、パスワードを同時送信にしているようなシステム運用ですと誤送信対策にはなりえません。

また、ZIP暗号化されている添付ファイルが届くと
サーバ上でのアンチウイルス等のセキュリティ製品でのチェックができない状態になります。
これを理由にZIP暗号化ファイルを受け付けない企業もあります。

上記ようにメールの配送経路でのウイルスチェックはすり抜けてしまうので、クライアント側のウイルスチェックは必須になります。

メールの正しい運用としてはまずは、誤送信をしない対策を行うことが重要です。
また、ZIP暗号化を実施する場合は添付メールと同時ではなく、
宛先、添付ファイルを確認後パスワード通知を後追いで送信する必要があると考えます。
これらの運用を弊社製品、
WISE Alert(クライアント型) WISE Attach(サーバ型)でより良い運用をご提供することが可能です。


※1 2020年11月追記:この資料は2020年9月4日に公開が取り下げられました。 記事に戻る
https://www.ipa.go.jp/security/antivirus/shiori.html#update


Twitterアイコン

コメントはこちらのツイートボタンからお願いします

タイトルとURLをコピーしました