ファイルを安全に送信する目的で長らく利用されてきたのが、メールでパスワード付きzipファイルを送信し、後にパスワードだけを別送する方法です。いわゆる暗号化zipやPPAPと呼ばれるこの方法は、追加費用をほとんどかけず、手軽にできるセキュリティ対策として広まりました。
しかし現在では、暗号化zipによるメール送信は脆弱性があるとして問題視され、代替策の導入を検討する企業が急増しています。
本記事では、暗号化zipによるメール送信が持つ問題についてわかりやすく解説します。
添付ファイル暗号化メールを送る理由
もともとzipは、複数のファイルをひとつに圧縮して容量を軽くするために用いられるファイル形式です。ビジネスシーンでは、本来の容量圧縮の目的だけでなく、メール送信時に添付ファイルを暗号化する目的で広く用いられてきました。
この方法を使う理由について、主な3つをご紹介します。
誤送信対策のため
暗号化zipを用いると、ファイルを添付した1通目を無関係の人へ誤送信しても、パスワードを載せた2通目を送らなければ、受信者がファイルの内容を確認できません。
プライバシーマーク認証などを行っている日本情報経済社会推進協会が公表した集計によると、2021年度に報告された個人情報の取り扱いに関する事故のうち、もっとも多いのがメール誤送信などを含む「誤送付(63.6%)」でした。メール本文や添付ファイルに重要な情報が含まれていると、大きな問題に発展する可能性があります。
ヒューマンエラーをゼロにすることは、事実上不可能です。そのため、万が一メールを誤送信してしまった際に情報漏えいが起こる可能性をできるだけ低くする目的で、暗号化zipが用いられてきました。
信頼確保のため
インターネットによるメールの送受信には、常に悪意のある第三者に窃取されるリスクが存在します。特に個人情報や機密情報が漏出すると、金銭のみならず信頼性に大きな被害を受けます。セキュリティ対策の実施を取引要件に入れる企業も多く、ビジネスを行ううえでこのような対策を取ることは重要です。
そのため、暗号化zipを用いることで、適切なセキュリティ対策を講じている企業であることを顧客に認知してもらい、信頼を確保できると考えられてきました。
Pマーク・ISMS取得のため
プライバシーマーク(Pマーク)は個人情報を適切に保護するよう、JISに定められた体制を整備している事業者を認証する制度です。また、ISMSは組織が国際規格に基づいた情報セキュリティ制度を運用していることを認証します。
自社が適切な情報管理を実施していることを、これらの専門機関に認証してもらうことで、信頼できる企業であることを対外的にアピールできます。
これら認証を取得するためには審査を受ける必要があります。暗号化zipは、審査に通過するために有効な手順であると多くの企業が認識した結果、導入が広まりました。
添付ファイル暗号化メールを送る際のリスク
ここまでに紹介した理由があったとしても、現在では暗号化zipを用いる対策が万全とは言えません。まず、同じ経路で短時間の間に送信したメールは、同時にすべて窃取されやすく、結局パスワードを知られてしまうことが第一の問題です。さらにzipファイルという形式自体に、以下のような問題があります。
パスワードが破られるリスク
情報処理技術の向上により、現在ではzipファイルのパスワードの解析は容易です。たとえパスワードがなくても、第三者が添付ファイルを復号できてしまう可能性があります。
zipファイルにはパスワードの入力回数に制限がないため、既知の単語を用いる辞書攻撃や総当たりで試すブルートフォース攻撃などによりパスワードを解析できます。
また、手作業で暗号化やパスワード設定を行っている場合は、日付、社名、電話番号など、推測されやすい文字列からパスワードを突破されることがあります。
マルウェアに感染するリスク
暗号化されたzipファイルは、セキュリティ対策ソフトによるスキャンを行えません。そのため、マルウェアに感染したPCからzipファイルを送信した場合、受信したほかのPCに感染を広める恐れがあります。
たとえば2019年以降に流行が見られるEmotetと呼ばれるマルウェアは、zipファイル(またはエクセルファイルなど)にマルウェアを仕込む手口で感染を広げていきました。これに対し、送信元にかかわらず、zipファイルは開かないといった対策が求められます。
添付ファイル暗号化の代替策
上記のようなリスクを踏まえると、メールでファイルを送信する行為自体が危険です。パスワード付きzipによりメールを送信する方式はPPAPと呼ばれ、現在ではなるべく行わないよう専門機関や政府が注意喚起しています。
従来の方式の代替策としては、ファイル転送サービス、オンラインストレージ、セキュリティ対策ソリューションの利用などの方法があります。
ファイル転送サービスで送付する
ファイル転送サービスとは、データ送信側が一時的にファイルをサーバーにアップロードし、受信側が専用URLを受け取ってファイルをダウンロードすることで受け渡しを行います。大容量のデータを転送できる点や、URLのやりとりのみで手軽に利用できるといったメリットがあります。
ファイル転送サービスを利用することで、メールにファイルを添付することなく相手にデータを転送できます。サービス提供元のサーバーを利用するため、管理者によってマルウェア対策が施されています。なお、無料のサービスはセキュリティが不十分な場合もあるため、信頼できるものを選びましょう。
法人向けの有料サービスでは、アップロードしたデータの取り消しやアクセス期限の設定ができるものもあり、メール添付に代わる方法としておすすめです。
オンラインストレージを活用する
インターネット上のサーバーにデータを保管するオンラインストレージは、ファイルサーバーとしての運用だけでなくファイルを共有する手段としても利用できます。
通常のフォルダ階層とは別に、社内外の人と共有するための専用フォルダを用意してアクセス権限を設定することで、安全に、許可されたユーザーのみがファイルにアクセスできます。一時的にファイルを預けるファイル転送サービスと比べて長期的にファイルを保存できる点や、変更履歴を残せる点がメリットです。
セキュリティ対策ソリューションを導入する
上記で紹介した方法だけでなく、最近はPPAP問題の解決にフォーカスしたセキュリティソリューションがいくつも提供されています。
たとえば添付ファイル付きのメールをダウンロードリンクに変換してくれるサービスでは、送信者は追加の作業負担なしに安全性の高いファイルの受け渡しを行うことができます。
HENNGE Secure Downloadなら安全にファイルをやりとりできる
「HENNGE Secure Download」は、メール送信時に添付ファイルを自動的に分離してクラウド上にアップロードするサービスです。メール受信者はメールとともに受け取るダウンロード用のURLをクリックし、メールアドレス認証と認証コードによるチェックを経て添付ファイルを受け取ります。
送信者にとって手間がかからず簡単なうえ、送付後であってもURLを無効にできるため誤送信対策にもなります。また、メールアドレス認証によって、送信先のアドレスを持たない第三者からのダウンロードを防げます。
添付ファイルのセキュリティを向上する手段として有効なソリューションのひとつです。
まとめ
かつて暗号化zipは、安全にメールでデータを送信する方法として多くの企業が利用してきました。しかし現在はこの方法では安全性を確保できず、代わりとなる方法が推奨されています。
ファイル転送サービスやオンラインストレージといった方法のほか、脱PPAPソリューションとして提供されているサービスもあります。まだzipファイルによる暗号化を行っている企業は、自社に適した代替策を検討することをおすすめします。
