なぜパスワード付きZipファイルをメール送信後、パスワードを再度メール送信する方法はNGなのか?
お客様からのご相談
『パスワード付きZipファイルをメール送信後、パスワードを
再度メール送信したところ、マネージャーから注意を受け
ました。他社員でも同様の手法を講じているメンバーが
おります。きちんと問題を理解して教育マニュアルにしたい
と考えているのですが、なぜこちらの方法がNGなのか教えて
いただけないでしょうか?』
ロゴスウェアからのご回答
ご相談者様がご質問くださった一連の手順を、イニシャルから取ってPPAPと呼ばれております。
①Password付Zipファイルを送信
②Passwordを知らせる
③暗号(Angou)化対応の
④Protocol(プロトコル=手順)
PPAPのポイントは、Password付をZipファイルをメール送信した後にメール以外でPasswordを通知しない
といけないということです。その理由は、ネットワーク盗聴者にハッキングされた場合や宛先を間違えて
誤送信した場合に、ZipファイルもPasswordも両方とも渡してしまう可能性が高いからです。
しかし、最近の動向としては、脱PPAPの動きが目立ちつつあります。
2020年に中央省庁で利用廃止が決定したことを契機に、日立グループやソフトバンク等の民間企業でも
利用廃止の発表がございました。なぜ脱PPAPの動きが高まっているかというと2つの理由があると考えます。
1つは、Zipファイルの暗号には回数制限がないためです。時間をかけて総当たりすればいずれは突破する
ことができます。もう1つは、セキュリティ対策ソフトの多くは、Zipファイルの中身に問題がないか
確認できないためです。
PPAPについて学習することはもちろん、脱PPAPの代替案についても併せて学習していくと良いと思います。
ロゴスウェアでも、PPAP問題に関する講座をご用意しております。宜しければ、こちらもご活用ください。