目次
メールに重要なファイルを添付して送る際、どのように情報漏えい対策を行っていますか?
暗号化したZIP形式の圧縮ファイルを作成し、パスワードを別のメールで送る、共通のパスワードで送る、といったフローになっていませんでしょうか。
このような暗号化ZIPファイルを添付し、メールで送信する手法はPPAPと呼ばれ、現在セキュリティ対策おいて多くの企業で課題になっています。
「脱PPAP」は、昨今、政府をはじめ大企業でも取り組みが進み始めています。
今回は、「脱PPAP」とは何か、なぜ必要だと言われるようになったのかを解説し、中小企業で対策進める上でのポイントをご紹介します。
「脱PPAP」が広まった理由
「脱PPAP」とは
PPAPは、「電子メールでファイルを送受信する際に、添付するファイルを暗号化して、暗号化したファイルとその解除用パスワードの2通目のメールを送る手法」を表現する略語です。
P:PasswordつきZIP暗号化ファイルを送ります。
P:Passwordを送ります
A:A(暗号化)
P:Protocol(プロトコル)
この略語は、2019年に日本情報経済社会推進協会(JIPDEC)に所属していた大泰司 章氏(現PPAP総研)が命名し、このファイル共有方法への問題提起から「脱PPAP」が広く浸透するようになりました。
PPAPが問題となる理由
PPAPは、日本企業内で広く用いられているファイル共有方法の一つですが、セキュリティ上でいくつかの問題点が挙げられています。
PPAPの問題点
1)暗号化したファイルがウイルスチェックをすり抜けてしまう
電子メールは、送信者から受信者に届くまでの間に、UTM(セキュリティ機能付きルーター)や、ウイルス対策ソフトなどで、添付ファイルがマルウエアに感染していないかなどのチェックが行われます。
しかし、暗号化されたファイルは、パスワードを解除しないとファイルの中身をチェックできません。
昨今のサイバー攻撃は、自社の社員や取引先を偽ってマルウエアが仕込まれたメールを送り付けてくるなど、巧妙化しています。Emotetなど、日本国内で感染が増えているマルウエアも少なくありません。
2)暗号化形式の脆弱性(総当たり攻撃で復号されてしまう)
暗号化ファイルの強度についても課題になりつつあります。
コンピューターの機能向上や解析ツールの開発などにより、ツールを悪用で容易にパスワード解析ができてしまう可能性が出てきたためです。
WindowsではZIPCrypto(ジップ・クリプト)形式※の暗号化が用いられていますが、たとえば、8桁程度のパスワードであれば、一般のコンピューターを利用して2週間程度でパスワードを解析できてしまうと言われています。
3)人為的なミスによる情報漏えいのリスク
ファイルを共有する宛先を間違えると、第三者に盗聴される可能性があります。
また、パスワードを送付する際、新規のメールで別に送るのではなく、ファイルを送付したメールに対して返信してパスワードを送ってしまうと、添付ファイルおよびパスワードの両方を盗聴される危険性があります。
国内の「脱PPAP」への取り組み
内閣府や省庁でオンラインストレージを導入
2020年11月、デジタル改革担当相が政府会見で「今後、中央省庁ではPPAPを廃止します」と発表しました※。
Emotetなどのマルウエアによるサイバー攻撃への対策として、内閣府と内閣官房ではPPAPによるファイル送信が廃止され、民間のストレージサービスでファイル共有に切り替えが行われました。
また、2022年1月から文部科学省でもオンラインストレージの運用が始まりました。
※平井内閣府特命担当大臣記者会見要旨 令和2年11月24日(内閣府)
企業でも「脱PPAP」の動きが加速
大手企業をはじめとして、自社Webサイト上でPPAPの廃止を告知するケースが増えてきました。
今後、送受信ともにパスワード付きZIPファイルを廃止する方針の企業もあり、PPAPの見直しに動き始めています。
「脱PPAP」を取り入れるメリット・デメリット
メリット
1)社内セキュリティの向上
暗号化ファイルの脆弱性を是正し、第三者の盗聴防止につながります。そのため、送信側の情報漏えい対策に有効です。また、受信側もウイルス感染のリスクを軽減できます。
2)取引先からの信用向上
受信側の安全性・業務効率性を高めることにつながるため、対外的にも信頼性が高まるといったメリットがあります。
3)業務効率化
ファイル送信方法の見直しにより、ファイル共有の手間を削減できる場合があります。たとえば、オンラインストレージなどを活用すると、ZIPによるファイルの暗号化の手間がなくなります。
4) 容量の大きいファイルのやり取りができる
メールに添付するファイルは、送信側/受信側の制限で、容量の大きい添付ファイルを送信/受信できないケースがあります。ダウンロードのリンクを共有するサービスであれば、添付ファイルを送れない/届かないといったこともなくなります。
デメリット
1)専用ツールなどの導入による新たな費用
「脱PPAP対策」にファイル共有用システムを導入すると、金銭的なコストが新たにかかるケースが少なくありません。無料サービスもありますが、セキュリティの保証・安全性に不安があるため、有料サービスを導入するのが一般的です。
2)運用開始に伴う社内定着コスト
新しいサービスや業務フローを導入するにあたり、社員が利用に慣れるまで一定の時間と手間がかかります。情報の取り扱いに関する社内規定の見直しが、生じるケースもあります。
3)取引先によっては使用できないケースがある
取引先の規定によっては、導入するサービスのセキュリティ基準が合わず、使用できないというケースがあります。
「脱PPAP対策」ツール
政府・大手企業による「脱PPAP」の影響は、中小企業にも広がっています。取引先と重要なデータのやり取りをする上で、対策が求められようになったためです。
無料のデータ共有サービスなどを、従業員が個別に利用しているケースが見受けられますが、企業としてどのように対策すべきか、「脱PPAP対策」はセキュリティ対策として中小企業にも必要になってきました。
何をすべきかわからない、というお客さまに向けて、「脱PPAP対策」ツールをご紹介します。
オンラインストレージ
オンラインストレージは、インターネットを介してファイルの管理が行えるサービスです。
クラウド上で管理されており、ウイルスチェックといったセキュリティ対策や、アクセス制限などが可能です。限定的なアクセス方法の指定や、万が一、相手(送信先)を間違えた場合も、アクセスを遮断できます。
ファイル転送サービス
ファイル転送サービスは、インターネット上でファイルの送受信ができるサービスです。
無料で簡単に使えるサービスから、多要素認証やデバイス管理ができる法人向けのサービスまで、幅広くあります。
浅間商事のおすすめ
浅間商事では、「オンラインストレージ」を活用しています。
社内と社外共有用に別のオンラインストレージを利用しており、PPAP対策として「おてがる!コワークドライブ」を導入しています。
- 社内向け:Microsoft 365のOneDrive for Business(以下、OneDrive)とSharePoint
- 社外向け:おてがる!コワークドライブ
ポイントは次の通りです。
Microsoft 365は社内専用
OneDriveは個人用ストレージ、SharePointは社内共有できるオンラインストレージです。大容量かつ、データがクラウド上にあります。ファイル共有しやすい、Microsoft 365内でサービス連携がしやすい、などのメリットがあります。
ただし、浅間商事では、セキュリティポリシーでMicrosoft 365(OneDriveおよびSharePoint)内の情報の外部共有を禁止しています(外部共有できない設定にしています)。
普段社内で利用しているストレージ内で、ファイルを社外共有すると、次のようなリスクがあります。
- 誤った社内の情報を共有してしまう
- 共有設定の解除を忘れ、そのままにしてしまう(共有・外部公開しっぱなし)
「おてがる!コワークドライブ」で社外共有
「おてがる!コワークドライブ」も、オンラインストレージです。アップしたファイルのURLを管理画面で発行し、そのURLをメールで送付することで、ファイルの外部共有ができます。
メリットは、次の通りです。
- 共有したいファイル別の場所にアップするため、誤ったファイルを共有するリスクが減る
- 社外共有リンクはダウンロードの有効期限と回数の設定が可能
- ファイルのプレビューや、ダウンロードの通知設定も可能
- メールの送信先を間違えても、ダウンロード前に共有リンクを削除すれば、誤送信の際の情報漏えいを最小限に抑えられる
また、大容量ファイルも共有できるため、図面、画像、動画などのデザインデータを取り扱うお客さまなどから、ご相談が増えています。
導入事例
「おてがる!コワークドライブ」の浅間商事お客さま導入事例、および自社事例をご紹介します。
【A社様】
個人情報の取扱いが多いA社。社外とファイルを共有する際は、紙の資料は印刷して渡すか、暗号化したZIPファイルを送っていました。
しかし、営業担当者の負荷や事務作業のコストが高いため、業務の見直しを検討することに。また、セキュリティ対策として暗号化ZIPを受け付けない取引先が出てきたため、早急に安全にファイルを共有する仕組みが必要になりました。
浅間商事から「おてがる!コワークドライブ」をご紹介。導入した結果、クラウド環境で安全な情報共有ができるようになり、業務コストの削減も実現しました。
【浅間商事、自社事例】
セキュリティポリシーで、社内で利用しているOneDriveやSharePointのデータは外部共有ができません。
「脱PPAP対策」のためにも外部とのデータ共有方法を模索した結果、「おてがる!コワークドライブ」の導入を決めました。
次のような効果がありました。
重要なファイルの外部共有が簡単・安全に
暗号化ZIPの安全性が疑問視されるようになり、重要なファイルの外部共有に困っていました。また、サービスの信頼性もツール選定で重要なポイントでした。コワークドライブの利用で、安全に重要なファイルの外部共有ができるようになり、「脱PPAP」が実現しました。
差し替えが簡単
一度アップしたファイルは、URLを変えることなく上書きできます。誤ったファイルのURLを送信した場合も、サーバー上のファイルを上書きすることで差し替えできます。古いファイルのURLを送ってしまった場合も、改めてメールを送信する必要がなくなりました。
大容量ファイルも気軽に共有できる
大容量ファイルの外部共有が簡単になりました。画像や動画など容量が大きいデータを扱う担当者が、活用しているポイントです。
まとめ
暗号化したZIPファイルをメールに添付する手法は「PPAP」と呼ばれ、現在、セキュリティ対策おいて多くの企業で課題になっています。
PPAPには次のような問題点があります。
- 暗号化したファイルがウイルスチェックをすり抜けてしまう
- 暗号化形式の脆弱性(総当たり攻撃で復号されてしまう)
- 人為的なミスによる情報漏えいのリスク
以上のような背景から、政府をはじめ大企業で「脱PPAP」の取り組みが進み始めており、中小企業でも対策の検討が始まっています。
「脱PPAP対策」ツールとして、次の2つをご紹介しました。
- オンラインストレージ
- ファイル転送サービス
浅間商事は、脱PPAP対策として、自社で「オンラインストレージ」の「おてがる!コワークドライブ」を導入し、お客さまにもおすすめしております。
次のようなメリットがありました。
- 重要なファイルの外部共有が簡単・安全に
- 差し替えが簡単
- 大容量ファイルも気軽に共有できる
お客さまの導入事例だけでなく、ご相談も増えてまいりました。「おてがる!コワークドライブ」について、詳しくはこちらのご案内をご覧ください。
なお、当社営業エリア内(東京・埼玉・栃木一部エリア)のお客さまに限り、無料のサポートプログラムがございます。
まずお試ししたいお客さまも、ぜひお気軽に浅間商事までお問い合わせください。
