内閣府は2020年11月にPPAPによるファイルの送受信を廃止すると発表し、多くの企業で脱PPAPが進みつつあります。しかし、PPAPを廃止する場合、それに代わるファイル共有方法を確立しなくてはなりません。そこで本記事は、PPAP方式の問題点について考察するとともに、代替案となる「メール暗号化」について解説します。
PPAPの問題点
PPAPとは、Eメールを利用したファイルの送受信におけるセキュリティ対策を指します。具体的には、パスワード付きZIPファイルとパスワードを別々のEメールで送信することで、誤送信や盗聴による情報漏洩インシデントを防止するという方法です。「Password protected ZIP file(パスワード付きZIPファイル)」「Password(パスワード)」「Angoka(暗号化)」「Protocol(プロトコル)」の頭文字をとって「PPAP」と呼ばれています。
PPAP方式は「個人情報保護法」が制定された2005年から2010年頃にかけて普及し、政府機関や民間企業の間でセキュリティ対策の一環として取り入れられました。しかし、ファイルとパスワードを別々に送信するとしても、基本的には同一人物のメールアドレスから同一回線によって送信されます。そのため、仮に1通目のEメールが窃取された場合、同一回線から送信される2通目も同じように窃取される可能性が高いといえます。
そもそもZIPファイルにマルウェアが仕込まれていた場合、一般的なセキュリティシステムでの検知は非常に困難です。たとえば、2014年にパスワード付きZIPファイルに仕込まれた「Emotet」というマルウェアが世界中で猛威を振るい、多くの企業が標的となりました。また、PPAP方式は、組織内部の人間による意図的な情報流出にも対応できません。このように、PPAPによるセキュリティ範囲は非常に限定的であり、近年では政府機関をはじめ多くの企業で脱PPAPの流れが加速しています。
PPAP問題の代替策!メール暗号化とは
PPAP方式によるファイルの送受信を廃止するとなれば、代替案となる手法を確立しなくてはなりません。PPAPに代わるファイル共有方法としては、ファイル転送サービスの利用やクラウドストレージによるデータ共有など、いくつかの方法が考えられます。さまざまな方法が考えられるなかで、PPAPの代替案として注目を集めているのが「メール暗号化」です。メール暗号化とは、その名の通りEメールそのものを暗号化し、第三者に情報の閲覧や窃取をされないよう保護する仕組みを指します。
メールの暗号化方式は大きく分けて「共通鍵暗号方式」と「公開鍵暗号方式」の2種類が存在します。共通化暗号方式は、送信者と受信者が共通の鍵を使用して暗号化と復号を行うメール暗号化方式です。暗号化されたEメールを閲覧するためにはこの鍵が必須であり、送信者と受信者の間でのみ共有されるため、高いセキュリティを誇ります。ただし、複数人に送信する場合は人数分の鍵を用意する必要があるため、管理が煩雑になります。
公開鍵暗号方式は、Eメールを暗号化する「公開鍵」と、復号する「秘密鍵」の2種類の鍵を使用するメール暗号化方式です。公開鍵暗号方式では、まず送信者は受信者から公開鍵を受け取り、Eメールを暗号化して送信します。そして、受信者は秘密鍵を使って暗号化されたEメールを複合して平文化します。暗号化されたEメールを閲覧できるのは、秘密鍵を所持している受信者のみのため、情報漏洩リスクを最小限に抑えられる点が公開鍵暗号方式の特長です。
メール暗号化の必要性
企業にとって情報とはヒト・モノ・カネに次ぐ第4の経営資源であり、情報セキュリティの強化は重要課題のひとつです。テクノロジーの進歩によって多くの産業が発展を遂げたものの、その裏でマルウェアや不正アクセスなどの脅威も年々高度化かつ多角化しています。情報漏洩インシデントは企業が積み上げてきた社会的信用の失墜を招き、損害賠償や取引停止といった損害につながりかねません。このような事態を防ぐためにも、メール暗号化や認証システムなどを取り入れ、セキュリティ体制を強化していく必要があるでしょう。
メール暗号化の方法
メール暗号化に用いられる2つのプロトコルについて解説していきます。
SSL・TLS方式
「SSL」は「Secure Sockets Layer」の略称で、ネットワーク上の通信データを暗号化する技術です。「TLS」は「Transport Layer Security」の略称であり、SSLを進化させた次世代規格となるプロトコルを指します。とくにTLSは「共通鍵暗号設定」と「公開鍵暗号設定」を組み合わせて暗号化する最も一般的なプロトコルです。SSLとTLSは厳密にいえば定義が異なるものの、どちらもネットワーク通信を暗号化する技術であり、「SSL/TLS」と表記されて同一に扱われる傾向にあります。
PGP・S/MIME方式
「PGP」は「Pretty Good Privacy」を略した用語であり、Eメールや添付ファイルのデータを暗号化する技術です。SSL/TLSとは異なり、通信データは暗号化されませんが、公開鍵暗号方式によってEメールの盗聴や改竄、なりすましなどを防ぎます。「S/MIME」は「Secure / Multipurpose Internet Mail Extensions」の略語で、電子証明書を用いてEメールのセキュリティを向上する暗号化方式のひとつです。
脱PPAP機能を搭載した「HENNGE One」
脱PPAPに取り組んでいる企業におすすめしたいのが、クラウドセキュリティサービス「HENNGE One」の導入です。「HENNGE One」は、Microsoft 365やGoogle Workspaceと連携することでメールセキュリティを強化するソリューションです。メール添付ファイルを保護して送信する脱PPAP機能をはじめとするメール誤送信対策機能のほか、Emotet等のマルウェアに対応するメール脅威対策といった包括的なメールセキュリティを提供しています。
まとめ
PPAPの目的は、ファイルを添付したメールとパスワードを記載したメールを別送することで、セキュリティの強化を図ることです。しかし、PPAPのセキュリティ機能は極めて限定的であり、近年では脱PPAPが加速しています。大切な企業の情報資産を保護するためには、PPAPに代わる新たなファイル共有方法を確立しなくてはなりません。組織全体における情報セキュリティの強化を目指す企業は、豊富な認証機能を搭載した「HENNGE One」の導入を検討してみてはいかがでしょうか。
- カテゴリ:
- メールセキュリティ