組織の生産性を高めるためには円滑な情報共有が不可欠であり、そのためにも添付ファイルを安全に送受信する仕組みを構築することは重要です。本記事では、メール添付ファイルの送受信に潜むセキュリティリスクや、添付ファイルを安全かつ効率的に送る方法などについて解説します。
メール添付ファイルのリスクとは
近年、国内企業のクラウド活用やデジタルシフトが加速しており、それに伴ってコミュニケーションツールの主体がビジネスチャットへと移行しつつあります。しかし、ビジネスシーンにおけるメールの利用率は依然として高く、後述する「PPAP」を用いたファイルの送受信を利用している企業は少なくありません。一方で、メール添付ファイルのやり取りには、盗聴による情報の窃取や、近年ではマルウェアを用いたサイバー攻撃の手段として使われるなどセキュリティリスクも潜んでいます。
たとえば、受信した添付ファイルにマルウェアが仕込まれていた場合、それを開いたコンピュータが感染するだけでなく、そこから社内ネットワークへ侵入されてしまう可能性もあります。一例としては、2014年頃に世界中で猛威を奮ったトロイの木馬型マルウェア「Emotet」が代表的なケースです。また、添付ファイルがパスワード付きZIPで暗号化されている場合、ウイルス対策ソフトが検知できない可能性があるため、この点を悪用したマルウェア攻撃も目立ちます。
一時普及したPPAPの問題
2020年11月24日、記者会見においてデジタル改革担当大臣が内閣府および内閣官房で脱PPAPすることを発表し、大きな話題となりました。ここでは、多くの企業が利用していたPPAPの概要と問題点について解説します。
PPAPとは
PPAPとは、パスワード付きZIPファイルとパスワードを別送するセキュリティ対策を指します。具体的には、パスワード付きのZIPファイルが添付されたメールを送信し、直後にパスワードを別送することで情報の窃取や流出を防止するという方式です。「Password protected ZIP file(パスワード付きZIPファイル)」「Password(パスワード)」「Angoka(暗号化)」「Protocol(プロトコル)」それぞれの頭文字をとってPPAPと呼ばれています。
2005年4月に個人情報の取扱いに関する「個人情報保護法」が施行され、さまざまなセキュリティ対策が企業や政府機関等でとられるようになりました。その一環として、PPAP方式によるファイルの送受信も広く普及しました。PPAPが普及した理由のひとつは、パスワード付きのZIPファイルとパスワードを別々に送信することで、誤送信による情報漏洩を防げるとの考え方に基づきます。しかし、近年ではPPAPのセキュリティに疑問を投げかける声が多く、政府機関の脱PPAP宣言に追随して一般企業でも廃止する流れが加速しているのが実情です。
PPAPのセキュリティは低い
PPAPを実施する主な目的は、メールの誤送信による情報の流出・漏洩の防止です。たとえば、ファイルが添付された1通目のメールを受け取っても、パスワードが記載された2通目を受信しなければファイルの開封はできません。そのため、1通目のメールを誤送信してしまった場合でも、2通目を送信しなければ情報の流出を防止できるというのがPPAPの基本的な考え方です。
しかし、この方法は誤送信対策としては機能しても、メールの窃取やマルウェアの感染には対応しきれません。基本的に同一のユーザーが同じ経路からメールを送信するため、1通目を盗聴されている場合、2通目も同じように盗聴されると予測されます。また、先述したようにパスワード付きZIPファイルはウイルス対策ソフトが検知できない可能性があるため、セキュリティ対策としての効果は薄いと言わざるを得ません。
添付ファイルを安全に送る方法
企業にとってセキュリティ体制の強化は重要な経営課題であり、情報共有の円滑化を図るためにも添付ファイルを安全に送受信する仕組みが求められます。添付ファイルを安全に送る方法はいくつか考えられますが、代表的な手法として挙げられるのは以下の3つです。
添付ファイルの暗号化
PPAPは暗号化ZIPファイルを用いたセキュリティ対策ですが、先述したようにメールの盗聴やマルウェアには対応しきれません。セキュリティ強度を高めるためには、ZIPファイル以外での暗号化をしたり、メール以外の手段でパスワードを伝えたりする工夫が必要です。たとえば、WordやExcelなどはファイルにパスワードをかけて暗号化できる機能が搭載されており、セキュリティの強度と情報共有の安全性を高められます。また、「PGP(Pretty Good Privacy)」や「S/MIME(Secure Multipurpose Internet Mail Extensions)」でメールそのものを暗号化することで、より安全性の高いファイルの送受信が可能です。
クラウドストレージの活用
PPAPの代替案として普及している方法のひとつが、クラウドストレージを用いたファイルの共有です。オンラインストレージには共有リンク機能を備えているものがあり、クラウド環境に保管されているファイルへのリンクを発行できます。相手がオンラインストレージのアカウントを保有していなくてもファイルの受け渡しができるため、社内外を問わずファイルやデータの共有が可能です。また、クラウドストレージの多くは部門や職務分掌規定に則ってアクセス権限を設定できるため、仮に共有リンクが流出しても権限を付与されていないユーザーは情報を閲覧できません。このような特性を備えていることから、クラウドストレージはPPAPに代わるセキュアなファイル共有方法としても大きな注目を集めています。
安全にファイルを共有・送信できる「HENNGE One」
2019年4月より施行された働き方改革関連法や、2020年3月にパンデミック認定された新型コロナウイルスの蔓延によって、国内ではテレワーク制度を導入する企業が増加傾向にあります。テレワーク環境では複合機(MFP)やFAX、固定電話を利用できないため電子データを社内外でやり取りするケースが増えています。そのため、これまで以上にセキュアなファイル共有基盤を構築しなくてはなりません。そこでおすすめしたいのが、セキュアなファイル共有を実現するSaaS型の認証基盤サービス「HENNGE One」の導入です。
HENNGE Oneは、メールで添付ファイルを送信すると自動で分離・暗号化したり、ファイルが無事に受け渡されたことを確認できたりする機能を備えています。また、ダウンロード用の共有リンクを送り、指定されたユーザーのみがダウンロードできるようにすることもできるほか、アップロード用URLを発行しファイルを受け取ることも可能です。ニューノーマル時代に即したファイル共有の仕組みの構築を目指す企業は、HENNGE Oneの導入を検討してみてはいかがでしょうか。
まとめ
メールによるファイルの送受信には、誤送信による機密データの流出や情報の窃取、マルウェアへの感染といったさまざまセキュリティリスクが潜んでいます。これまで多くの企業や政府機関で利用されていたPPAPでは、ファイルの窃取やマルウェアの感染を防止しきれません。新しい時代に即した堅牢なセキュリティ体制を構築し、全社横断的な情報共有を実現するためにもHENNGE Oneの導入をご検討されてみてはいかがでしょうか。
- カテゴリ:
- メールセキュリティ