コムセント 技術情報

  1. TOP
  2. コムセント 技術情報
  3. ファイル送受信に関する手段について振り返ってみる

ファイル送受信に関する手段について振り返ってみる

この記事は2023/06/28に作成されました。

日本のビジネスシーンにおいて、以前からデータファイルのやりとりに対して「メールに添付した圧縮ファイルのパスワードは後から送る」という方法が存在しています。

10年くらい前までは、メールの添付ファイルにはパスワードをかけて後からパスワードをメールで送るというのは一般的なやりとりでした。
しかし、近年ではこの方法は廃止の流れが世間にも広まり、クライアントとのメールのやり取りではほぼ使用されなくなりました。

なぜパスワードを後から送っていたのか、このやり方が廃れていった理由について、今回調べてみました。

データファイルの送受信について

「メールに添付した圧縮ファイルのパスワードは後から送る」方法が有効となっていた理由としては、次のようなことが考えられます

1.中間者攻撃への対策

パスワードを別途送ることで、通常のメール本文や添付ファイルからパスワードが漏洩するリスクを減らすことができます。
例えば、中間者攻撃と呼ばれる攻撃手法では、通信経路上の攻撃者がメールの内容を傍受し、パスワードを取得する可能性があります。
別途送ることで、パスワードの伝達経路を分離し、この中間者攻撃に対する防御策となります。

2.パスワードの保存と変更

パスワードを別途送ることで、送信者と受信者がパスワードを管理できます。
パスワードを共有するための別の手段を使用することで、パスワードを安全に保存し、必要に応じて変更することができます。これにより、不正利用や漏洩のリスクを低減できます。

上記のように有効であると考えられる理由がある反面、次のようなリスクも存在していました。

1.送信経路のセキュリティ

パスワードを別途送る際の送信経路にもセキュリティ上のリスクが存在しています。
例えば、パスワードをSMSで送信する場合にはSMSの内容が傍受される可能性があります。
別送するには、送信経路自体の安全性を確保しておく必要があります。

2.受信者のセキュリティ意識

パスワードを受け取る側のセキュリティが影響してきます。
受信者がパスワードを安全に管理すること、他人と共有しないことなどが求められます。
しかし、受信者のセキュリティ対策が不十分であったり、安易にパスワードを他の人と共有してしまうようなことがあれば、パスワードを別送すること自体が無意味になってしまいます。

PPAPと廃止の流れの一因について

また、パスワード付きの添付ファイルについては、PPAPという言葉で称されることもあります。
PPAPという言葉自体は次の頭文字をもじったものになります。

  • 「P」→Password付きZip暗号化ファイルを送ります
  • 「P」→Passwordを送ります
  • 「A」→あん号化(暗号化)します
  • 「P」→Protocol(プロトコル=手順)

「PPAP」は、同じ頭文字の動画が流行した2016年以降に提唱され始めた言葉になります。
もじっている言葉が日本語ですので、英語なのに日本国内でしか通じない言葉となっています。

このPPAPと称される方式は日本の省庁に関するやりとりでも普通に使われていました。
しかし、2020年11月には内閣府から職員に対してPPAP利用廃止の通知が行われたと発表されていました。

この通知は省庁と取引していた民間企業にも影響があったと考えられます。この発表以前から廃止の流れがありましたが、国の上層部が宣言したことで、世間でも廃止の流れがより広まりやすくなったのではないかとも考えられます。
現場レベルでは不要という意見が既に出回っていたかもしれませんが、企業ごとに会社のルールとして定められている場合もありますので、国の機関がPPAP廃止の意思表示を行ったことは企業の方針を変えるきっかけとしては良いことだったのだと思います。

オンラインストレージも利用も多い

現在では、ファイルの送受信にオンラインストレージへファイルアップロードして特定の相手のみにURLを共有・ダウンロード権限を付与するといった、直接ではない方法でファイルのやりとりを行うことも広まっています。
オンラインストレージ利用による安全性については提供元のセキュリティ対策に依存するほか、オンラインストレージに関する情報のやり取りがメールのままですと、メールのセキュリティ対策やそこで生じているリスクがそのまま影響してきます。

アナログ併用のパスワード管理の例

デジタルな手段だけでなく。ファイルを送るための安全なパスワードのやり取りを行う手段の一つとして、相手と直接会って予め符丁などでパスワードを取り決めるアナログな方法があります。
この方法でパスワード流出の危険を減らすことができますが、パスワード自体が簡素なものであれば、当然セキュリティリスクへと繋がっていきます。

情報やデータをやりとりする際には、送受信の経路や条件が100%安全であるという保証はありません。
今回挙げた「メールに添付した圧縮ファイルのパスワードは後から送る」という手法も以前は有効であり、広まっていったのと考えられます。

今回振り返ってみたことで、外部に情報を出すこと自体がリスクでありつつも、外部とのやり取りが無くなることは無いため、できる範囲で安全対策をとってリスクの軽減を進めるべきだと感じました。
メールやファイルなどやり取りを行う情報の内容だけでなく、送受信経路の暗号化を行ったり、自社や相手方が示すセキュリティ要件を満たした手法や外部サービスを利用するなど、環境に応じた対応が必要となってきます。

これからもクライアントとの間でデータファイルのやり取りを行うことは欠かせないことです。
やりとりを行う上でリスクがあることは頭に置きながらも、リスクを抑えていくためにはどうすべきかということは、適宜情報を得ながら対応する意識を持っていきたいと考えています。

コーディネーター/O.H

このメンバーの記事一覧へ

おすすめ記事