脱PPAPに有効なオンラインストレージで生産性アップ
脱PPAPをオンラインストレージで果たし手順を削減
先日、ソフトバンクが、「パスワード付き圧縮ファイル」を添付したメールを、受信せずに破棄すると発表しました。
いわゆるPPAPとは、「パスワード付きZipファイルをメール添付で送信し、その後、別のメールでパスワードを送る行為」を指しますが、これは以前からセキュリティ的に脆弱であることは言われておりました。
メール受信時のチェックが極めて困難であるということや、ウィルスの感染経路として利用される事例が多数確認されたということですが、ちょっと調査をしてみました。
PPAPとは?
これまで政府をはじめ、大企業を中心に「脱PPAP」を表明していることから、この流れは中小企業にも影響し、顧客と重要なファイルの受け渡しを行う当社においては、企業側からファイルの送受信方法について厳しく要求されてくるケースも増えており、その対策を余儀なくされています。
セキュリティ対策のPPAPとは、ファイルをZIP形式で暗号化した上でメール添付し、続けてそのパスワードをメール送る方法です。以下の頭文字を取っています。
- P:パスワード付きZIPファイルを送ります
- P:パスワードを送ります
- A:暗号化
- P:プロトコル(手順)
PPAPは何故、間違ったセキュリティ方式と言われるのか
PPAPが間違ったセキュリティ方式だと言われるのは、以下のような問題があるからです。
- セキュリティ対策としては効果が弱い
- ZIPファイルはウイルス対策がしにくい
パスワードをかけて暗号化したファイルとパスワードを別々に送る方法は、一見高いセキュリティ効果があるように感じます。しかし、どちらか一通を盗み見できる状態なら、もう一方も見られる可能性が高いため、別々に送る効果はほとんどありません。
メールに添付されたファイルのウイルスチェックを自動で行うセキュリティ対策製品を使っている企業も多いのですが、パスワード付きZIP形式のファイルにウイルスが入っていると検知できない場合も多く、開いた途端にウイルスに感染してしまう例もあります。
PPAP対策はセキュリティを見直すこと
PPAPでのファイル送信はセキュリティ面で問題があります。PPAP以外のファイルの送信方法を探し、セキュリティについて見直すことがPPAP対策と言えます。
脱PPAPが推奨される理由
脱PPAPが推奨される理由としてセキュリティ以外に業務効率の問題もあります。
PPAPで送るファイルは作成と送付に手間がかかります。次のような流れですね。
- ファイルをZIPファイルにアーカイブする
- パスワードを発行する
- ファイルとパスワードを2通のメールに分けて送る
受信者側も逆の手順でファイルを見られるようにする作業が必要です。ファイル1つだけならそれほど大変ではないですが、何度もファイルのやり取りをする場合や複数の取引先からのファイルを見られるようにする場合は、多くの時間を必要とします。
また、受信者がメールを必ずPCで確認するとは限りません。スマートフォンでZIPファイルを確認するのは手間がかかります。
政府も脱PPAP対策を提言
以前より多くのIT専門家からPPAPの問題点は指摘されていました。そして、2020年11月にデジタル改革担当相が政府会見で「今後、中央省庁ではPPAPを廃止します」と発言したことにより、広く認知され話題となりました。同月中に内閣府と内閣官房ではPPAPによるファイル送信が廃止され、民間のストレージサービスでファイルの共有をしています。
政府の決定は、大手企業を中心に多くの民間企業に影響を与えています。今後、PPAPの廃止を検討する企業は増えることでしょう。
PPAPの起こりうるデメリット
PPAPでファイル送信をすることで、どのようなデメリットが考えられるのか考えてみましょう。
誤送信した際に取り返すことができない
メールアドレスを間違えてZIPファイルとパスワードを送ってしまった場合、受信者はファイルの暗号を解いて見られる状態になってしまいます。送信者が後からファイル送信を取り消すことができず、受信者に未開封のまま削除を依頼することしかできません。
暗号化ZIPファイル内のウイルスが検出できない
前述した通り、受信側のメールサーバーにメールが届いた時点で添付されたファイルのウイルスチェックをする、ゲートウェイ型と呼ばれるセキュリティ対策ソフトがあります。しかし、暗号化ZIPファイルの中にウイルスがあると、チェックできない可能性があるのです。
マルウェアとは、ファイルを開いた時点で動作するウイルスを添付ファイルの中に潜ませる方法です。マルウェアメールは業務メールを装った本文とファイルが送られてきます。結果として、多くの人が業務に関わるものだと思い込みファイルを開いてしまいます。
暗号化ZIPファイルを受け取らない取引先も増加している
マルウェア攻撃から会社を守るため、すべてのZIPファイルを受信できないように設定する企業も増えています。ウイルスが入っているかわからないのなら、すべてのZIPファイルを受け取らなければいいという考え方です。
当然ながら業務で必要なZIPファイルも受け取れないため、別の方法でのファイルの送受信を考えなくてはいけません。
今後は、脱PPAPの動きは加速していくことが予想され、代替案として新たな手法が注目され、導入されていくことでしょう。
3つのサービスを併用で
多くの企業で当たり前のように使われているPPAPですが、実は問題が多いこと、安全なファイル共有方法には便利な手法が開発され安価にもなっているので、導入を検討したいところです。
当社では、3つのサービスを併用でいこうと考えています。
ソフトバンク、業務メールで「脱PPAP」–パスワード付き圧縮ファイルを廃止
https://japan.zdnet.com/article/35183589/
ZDNet Japanソフトバンクは、2月15日午後3時で従業員が業務に使用するメールアカウントでのパスワード付き圧縮ファイル(通称PPAP)の利用を廃止したと発表した。
PPAPは、パスワードを設定した圧縮ファイルとパスワードをそれぞれ別のメールなど異なる経路で送信することにより、圧縮ファイルの中身を第三者に把握されにくくなると考えられていた古いセキュリティ対策方法。しかし、現在ではパスワードが瞬時に解析(処理するコンピューターの性能により異なる)されたり、送信者がわざわざパスワードを設定して圧縮ファイルとは別の形で相手に伝える作業が非常に面倒であるなど、実質的なセキュリティ対策効果をほとんど期待できないため、官公庁を中心に廃止する動きが広がっている。
同社は、メールセキュリティシステムなどではパスワード付き圧縮ファイルの中身を検査が極めて困難であることや、パスワード付き圧縮ファイルなどの手法で拡散するマルウェア「Emotet」が流行しているなどの状況があるほか、世界的にもパスワード付き圧縮ファイルをブロックするセキュリティ対策が推奨されているためと廃止理由を説明する。
2月15日午後3時以降、同社は従業員のメールアカウント宛てに送信されるパスワード付き圧縮ファイルが添付されたメールについて全ての添付ファイルを削除し、メール本文のテキストだけを従業員に受信させる運用に変更。送信者には添付ファイルが削除されたことを通知していないとし、同社の従業員にメールを送信する取引先などは、送信相手とファイルの授受方法を確認してほしいとしている。
ディスカッション
コメント一覧
まだ、コメントがありません