「メールの添付ファイルにおいてzipで暗号化を行い、後からパスワードを記載したメールを送付する方式」は広く普及していました。
しかし、その効果は疑問視されるもので、近年ではPPAPとも呼ばれ、利用を辞める動きが広がっています。企業や官公庁でもPPAPの利用廃止が次々と発表されており、やがては廃れていくものと考えられます。
それでは、メールの添付ファイルにセキュリティ対策は不要なのでしょうか?もちろんセキュリティ対策は必要であり、PPAPに代わる対策方法を導入することが必要となります。
本記事ではPPAPを含めた添付ファイル暗号化の重要性と、代替手段として有望視される暗号化ツールについて解説します。
添付ファイル暗号化の必要性とは
昔からその実用性について議論され続けてきた情報セキュリティにおける課題が「メール添付ファイルのZIPパスワード化問題」です。一般に広く普及した手順でありながら、その有効性や手間に問題があるとされ、近年は廃止の動きが広がっています。
問題となる手順は下記です。各種のツールを用いてこの手順を設定する場合が多いでしょう。
- メールでファイルを送信するときに、まずは送信するファイルをZIPで圧縮する。
- ZIPファイルにパスワードを設定する。
- 1通目のメールでパスワード保護されたZIPファイルを添付して送信。
- 2通目のメールにパスワードを記載する。
- 受信者は1通目のメールから添付ファイルを取得し、2通目のメールのパスワードで添付ファイルを復号する。
これだけ見ても手間がかかることが明確です。それでいてセキュリティ効果が薄いため問題視されているのです(詳細については次項で説明しています)。
この手続きはPPAPと呼ばれ、内閣府をはじめとする各省庁や大手企業でも廃止の動きを見せています。なお、PPAPという名称はピコ太郎氏の動画から現PPAP総研の大泰司章氏が名づけたとされています。
添付ファイルの手動での暗号化が禁止される理由
それではなぜ「メール添付ファイルのZIPパスワード化」が問題なのでしょうか。
添付ファイルの手動やツールによる暗号化とその後のメールでのパスワード通知という手順が問題視されており、メールの添付ファイルを暗号化することそのものが問題ではないことに注意しましょう。
セキュリティ対策として効果が薄い
廃止に至る一つの理由がセキュリティ対策としての効果が薄いという根本的な問題です。
攻撃者がメールの1通目を盗み見した場合には、メールを盗み見る方法を確立している可能性が高いため、2通目のメールも盗み見できてしまうことが多いです。暗号化とパスワード付与という対処を行うこと事態に意味が無くなってしまいます。
また「パスワード付きzipファイル」は、ファイルを入手されると何度でもパスワードを試すことができます。
悪意あるユーザにファイルが渡った場合には、ツールなどを使ってパスワードが破られてしまうためパスワード付きzipファイルにする意義は薄れてしまいます。
ウイルス対策の効力を失わせる
ウイルス対策として導入されているセキュリティソフトの効力を失わせる、ということも理由の一つです。
セキュリティソフトはメールの添付などの外部からのファイルに対してウイルスチェック、スキャンを行います。しかし、zipファイルの中身に関しては検知できないため、パスワード付きzipファイルを利用することはウイルス対策を有効に利用できないことに繋がります。
受信者側に手間が増える
メールを受け取った受信者が添付ファイルの中身を参照するのに手間がかかってしまうことも問題です。
受信者は必ずしもパソコンでメールを閲覧するとは限りません。Webメールの利用が普及している現在ではスマートフォンやタブレットでメールを開くケースも増えています。zipファイルを解凍するためのソフトウェアをスマートフォンやタブレット等に用意していない場合には、受信者には大きな手間がかかります。
また、パソコンでメールを開くとしても、一つのメールの内容に対し毎回2通目のメールをチェックして添付ファイルを開くのは手間となってしまいます。
添付ファイルの暗号化に変わるツール
そうはいってもメールの添付ファイルにセキュリティ対策をしなくてよいわけではありません。
近年では問題を抱えている「メール添付のパスワード付きzipファイル」に替わり、PPAPのように無駄にならない方法をツールの利用により簡単に実現可能です。
メールごと添付ファイルも暗号化できるツールなどを紹介します。
メールZipper
メールZipperはLRM株式会社の提供するメールセキュリティソリューションです。
標準搭載されたWebダウンロード機能を利用することでPPAP問題を回避する方法を提供しています。
Webダウンロード機能では「ファイルをメールに添付せず専用のクラウドストレージに分離して保存し、受信者のメールアドレスと専用のパスワードでダウンロードを可能に」しています。送信者は暗号化の手間を省き、受信者も安心してダウンロードが可能な形式です。
また別のメリットとして「メール送信後であってもストレージから削除することができ、例え、誤った送付先に送付してしまった場合でも、アクセスの一時停止や削除」が可能です。メールの自己承認機能や上長承認機能も備えているため、誤送信にも多重のチェック体制を備えることができます。
脱PPAPのための設定方法については、お客様の要望を聞きながらLRMから設定の方法について説明することも可能です。導入の検討段階からお気軽にご相談いただけます。
メールディーラー
メールディーラーは株式会社ラクスの運営するメール共有管理システムです。
クライアントとのメールのやり取りをステータス管理し、チームで共有する仕組みを持ち、二重送信や誤送信、対応漏れを防ぐことが可能です。
メールの添付ファイルに関するオプション機能として「添付ファイルセキュリティ」を提供しており、「添付ファイルのダウンロードURL化」により「メール添付ファイルのZIPパスワード化問題」への対応を行っています。メールへは直接ファイルを添付せず、URLとして提供することで、不必要なダウンロードを防ぎ、ダウンロード履歴を監視して機密・個人情報の拡散を防ぎます。
m-FILTER
m-FILTERはデジタルアーツ株式会社の提供するメールセキュリティサービスです。各種のメールに関するセキュリティを提供していますが、その中でも脱PPAPについても機能を提供しています。
受信するメールに対しては、m-FILTERという機能によりzipファイルでもセキュリティチェックをかけることが可能です。添付ファイルの偽装についてもzip暗号化されたファイルにも対応しています。
また、メール送信では「m-FILTER」と「FinalCode」という機能を連携することで対応しています。送信側は特に操作をしなくとも機能が暗号化を実施し、そのファイルが受信された場合には暗号化されたファイルが自ら開封認証する仕組みをとっています。
※FinalCodeはm-FILTERのオプション機能となります。
まとめ
メールの添付ファイルに対しzipで暗号化し、別のメールでパスワードを送付する方式はPPAPと呼ばれ、効果の薄さや利用者の手間から廃止に向けた動きが広がっています。
しかしながら、メールの添付ファイルのセキュリティ対策が不要となったわけではないため、PPAPに替わる暗号化ツールの利用などが必要となります。
LRM株式会社の提供するメールZipper等を利用することにより、PPAP問題の回避が可能です。
