政府廃止のパスワード付zipファイル　専門家も「意味ない」

　霞が関で政治主導の改革が進んでいるということか。河野太郎・行革担当相による「行政手続きの認め印廃止」に続き、平井卓也・デジタル改革担当相が11月17日の定例会見で、中央省庁の職員がメールを送るときに添付する「パスワード付きzipファイル」を廃止すると発表した。

　このニュースを受けて、ツイッターでは、〈民間にも早く広まって欲しい！〉〈弊社でもパスワード付きzipファイルを廃止してくれ〉〈むしろ禁止してほしいレベル〉〈滅んでほしい〉と、全面的に賛同する言葉が溢れ返った。添付ファイルを開けるのにいちいちパスワードを入力するという作業は微妙に面倒で、かなり嫌われているようだ。

　パスワード付きzipファイルとは、たとえば、ワードやエクセルで作成したファイルを電子メールに添付して送信する際に、パスワードを設定して「zip」という形式で圧縮し（＝暗号化）、別送するパスワードを入力しないと展開（解凍）できないようにしたもの。

　送り手はその暗号化したファイルをまず添付して送信し、その後、パスワードを知らせるメールを別途送信するという“二段構え”で運用されることが多い。元のファイルをそのまま添付して送信すると、相手にそれが届く過程で通信を傍受され、情報が漏洩するリスクがあるという発想から生まれたシステムだ。この方式は中央省庁だけでなく、民間でも広く普及していて、添付ファイルのzip圧縮からパスワード送信までを自動化したメールサーバーを導入している企業も多い。

　では、なぜこのパスワード付きzipファイルの運用を廃止するのか。サイバーセキュリティが専門の立命館大学情報理工学部・上原哲太郎教授はこう解説する。

「電子メールという同じ手段でファイルとパスワードを送るので、もし盗聴者が添付ファイルを入手できるのなら、同じ方法でパスワードも入手できるはずだからです。こういうのを私は“お気持ちセキュリティ”と呼んでいます。手間をかけているから安全になっているような気がしますが、実は何の意味もないのです」

　パスワードを電話やファックス、郵送など別の通信手段で送るのならまだしも、ファイルに続けて別のメールで送ってしまったら何の意味もないという。