これから日本の大組織が悩む、自動暗号化Zipファイルの代わりをどうすべきか問題

内閣府・内閣官房がメールサーバーの設定を変更して添付ファイルを自動的に暗号化Zipに変換する仕組みを停止させた。情報処理学会の機関誌『情報処理』が7月号で暗号化Zipメールの小特集を組み、10月に入ってデジタル改革アイデアボックスに暗号化Zipの添付廃止が提言され、11月24日平井卓也デジタル大臣が記者会見で自動暗号化ZIPファイルと同一経路を使ったパスワード別送の廃止を表明、翌25日から内閣府・内閣官房のメールサーバーの設定が変更された。

自動暗号化ZIPファイル廃止　内閣府と内閣官房

電子メールの添付ファイルの自動暗号化Zip化は、金融機関や通信キャリアなど日本を代表する組織の多くで現在も使われていることから、今後、各組織で暗号化Zipファイルを廃止すべきか否か、議論が進むものと考えられる。

暗号化Zipファイル添付の何が悪かったのか

自動暗号化Zipファイルの問題は、データを保護する上で全く効果がないにも関わらず、サンドボックスによる添付ファイルの監視を無効化させることによって受信環境を標的型攻撃メールの脅威にさらし、スマートフォンでのファイルの閲覧を困難にするなど、様々な副作用を伴うことだ。

自動暗号化Zipファイルがデータを保護する上で効果がないのは、2つの理由による。まず暗号化したデータとパスワードとを同一のチャネルで送信した場合、傍受できる者は暗号化されたZipファイルだけでなく別送されたパスワードも入手できる。次に広く使われている暗号化ZipファイルではZipCryptoと俗称される脆弱な暗号化方式が使われており、パスワードがなくても解読できるツールが広く流通していることだ。WinZipなどの実装によってはAESという政府標準暗号を用いてZipファイルを暗号化できるがWindowsの標準機能が対応していないため、普及していないのが実情だ。

なぜ自動暗号化Zipファイルが日本の企業で広く普及したかは定かではないが、機密情報のやり取りにデータの暗号化を義務づける内部規定をつくったにも関わらず鍵交換など適切な仕組みを整備できなかったため、次善の策として暗号化Zipファイルが使われたようだ。日本を代表する移動通信事業者ではかつて、国産製品で生成したWindows向け自己展開ファイルを.exeから.ex_に変更してメール送信していたが、受信者に実行ファイルを実行させることが標的型メール攻撃を助長しかねないとの指摘を受けて、暗号化Zipファイルに移行している。

プライバシーマークの取得にあたって、メールの誤送信対策として自動暗号化Zipファイルの導入を推奨するコンサルタントがいたという目撃証言もある。今回の政府決定を受けて問い合わせがあったようで、プライバシーマーク事務局は「メールの誤送信等による個人情報の漏洩を防げないこと等から、従来から推奨しておりません。」との声明を出した。

悩ましい自動暗号化Zipファイル送信の移行先

メール送信での自動暗号化Zipファイルを廃止する場合に、代替手法として何を採用すべきか悩んでいる組織もあるようだ。そもそも現状でも情報を保護する上で全く効果がないのだから、単に自動暗号化Zipファイルを止めて、平文で送信したとしてもリスクは増大しない。とはいえ規定上、暗号化すべきと定めている機密情報のやり取りをどうするのか、何かしら安全なファイル交換手段を定めておきたいと考える組織が多いだろう。

問題が暗号化Zipファイルそのものではなく、電子メールという同一チャネルでパスワードを別送することと、暗号アルゴリズムの脆弱性にあるのだから、最もシンプルな改善策としては、パスワードについては別チャネルで別送し、安全な暗号アルゴリズムを用いることである。具体的には電話やSMS、チャットといった通信手段でパスワードを別送する、両者間で予めパスワードの生成方法について申し合わせておくといった手段が使われている。暗号アルゴリズムは暗号化Zipファイルではなく、AcrobatやMicrosoft Officeといったアプリケーションでファイルにパスワードを設定すれば、強力なAESアルゴリズムによって暗号化される。とはいえこれでは自動暗号化Zipファイルよりも運用が煩雑になってしまい、スマートフォンでのファイル閲覧が困難な上、ファイルが暗号化されるため受信者を標的型メール攻撃のリスクに晒していることには変わりがない。

より安全かつ操作性を改善できる方法としては、電子メールのファイル添付からクラウドを使ったファイル共有に移行して、相手のIDを指定したファイル共有を行うことだ。この方法であればスマートフォンでも容易に扱うことができ、クラウドサービス上でファイルの検疫を行うこともでき、受信者をリスクに晒さない方法で情報を共有できる。ファイルの開示先を指定しておけば、誤ってリンクURLを別人宛に送ってしまったり、リンクURLを含んだメールを転送されてしまった場合でも、ファイルを開く前に利用者認証が行われる。送付したファイルに誤記があった場合の削除や変更も容易となり、同じファイルを開いての共同編集も可能となる。URLリンクの共有に電子メールではなくSlackやTeamsといったビジネスチャットを使うようにすれば、メールのような誤送信も減らすことができるだろう。

こう書くといいことずくめのように見えるが、実際にすぐさま移行できる組織は限られる公算が大きい。というのも自動暗号化Zipファイルを利用している大組織では、こうしたクラウドサービスの多くを情報漏洩のリスクがあるインターネット上の「ファイル・アップローダー」として分類し、アクセスを禁止しているケースが多いからだ。こうした組織にとって、業務上の必要に応じて汎用的なクラウドサービス利用のための穴を開けることは、これまでのポリシーとの一貫性を失って何をどう護るかの原則が揺らいでしまいかねない。ただ利用を認めればいいという話ではないのである。

割り切ってインターネット上のクラウドサービスを活用し、ID管理と端末側のセキュリティー対策・監視に注力する「ゼロトラスト型」に舵を切れば、クラウドサービスを活用した情報共有の恩恵を享受できるが、従来の境界型セキュリティー対策を維持したまま自動暗号化Zipファイルを廃止しようとすると、多くの困難に直面するのではないか。現にクラウドサービスでの情報共有が増えたことで、業務に支障を来している組織も少なからずある。

2000年代初頭に大規模セキュリティー事案を受けて、セキュリティー対策が企業単位で行われてきた。いま自動暗号化Zipメールの取り扱いに頭を悩ましているのは、その時期から営々とセキュリティー対策に投資してきたセキュリティー意識の高い大組織が多い。コロナ禍にあって在宅勤務が増え、ファイル共有にしてもビデオ会議にしても、組織をまたいだ業務をどうやって情報システムが支えるかが問われるようになった。暗号化Zipメールをどう扱うかは単に技術的な選択というよりも、新常態にあって組織が何のために情報システムを提供すべきか、組織と事業、情報資産をどう守るかの試金石となる。業務が組織内に止まらず組織間の連携が増える一方で、コロナ禍で再び外出が制限されるリスクが高まっている中で、今回の政府の決断は自動暗号化Zipファイルを運用する大組織に波紋を投げかけることになりそうだ。

PPAP(暗号化zipの添付廃止) by モグラさん | デジタル改革アイデアボックス