Netpress 第2224号 刻々と状況は変化 安全なファイル共有方法“今”はどうなっている?
1.「PPAP」方式での電子ファイルの共有は、セキュリティ上、リスクが高くなってきています。
2.時代や環境の変化により適切なセキュリティ対策は変化します。しっかりとキャッチアップしましょう。
さくら情報システム株式会社
技術開発部 松澤 文明
みなさんの会社では、お客様などの外部と電子ファイルを共有するときは、どのようにしていますか?
これまで多くの日本企業は、電子ファイルをPassword付きZIPファイルなどにして、電子メールへ添付して共有していたのではないでしょうか。
これは通称「PPAP」と呼ばれ、少し前までセキュリティを強化するための方策として多く実施されていました。
| 【PPAPとは】 | P: Password付きZIPファイル等を送ります |
| P: Passwordを送ります | |
| A: Angoka(暗号化) | |
| P: Protocol(プロトコル:規約や手順の意味) |
近年、この方法が大きく見直されており、大手企業を中心に「PPAP」を廃止する動きが強まっています。
これまでは、電子メールとパスワードが第三者に盗み見(盗聴)されなければ、電子ファイルの安全な共有方法として、また電子ファイルの誤送信対策として、「PPAP」は簡易かつ有効とされ、重宝されていました。
しかし、テクノロジーの進歩やIT環境が変わり、次の3つの点から「PPAP」はセキュリティ面で好ましくないと考えられるようになっています。
| ① | 電子メールに添付された文書ファイル等として偽装したウイルス(マルウェア)が非常に多い昨今、Password付きZIPファイルは受信側でウイルスチェックができない。攻撃者は、この仕組みを利用して攻撃してくるため、受信者にとっての大きなリスク、精神的負担になってしまっている。 |
| ② | 電子メールの多くは暗号化せずに送信されているので、攻撃者が意図的に盗み見しようすれば簡単に見られてしまう。特に危険なケースは、電子ファイルを送る電子メールの後にパスワードの電子メールを自分で送る方法。この場合、攻撃者は電子ファイルとパスワードといった情報を簡単に奪うことができてしまい、セキュリティの意味がない。 |
| ③ | Password付きZIPファイルは、回数の限度なく解凍を試すことができるため、電子ファイルを送る電子メールが傍受できれば、総当たりで暗号化を解除できてしまう。 |
このようなセキュリティ面の不安に加え、送信者も受信者も手間がかかり、ビジネスの生産性が大きく損なわれるという点もあり、「PPAP」は廃止される傾向にあります。
業界標準の規程などによっては、「PPAP」方式がセキュリティ対策として残っているケースも散見されますが、これからは変わっていくことでしょう。
では、これからお客様など外部とファイル共有するにはどうしていくべきかというと、クラウドストレージサービスを経由して電子ファイルをダウンロードしてもらう仕組みが有力視されています。
クラウドストレージサービスでは、次の1)から3)の手順でやりとりを行います。
| 1) | 送信者は、Webブラウザを経由してストレージサービスへ共有する電子ファイルをアップロードする。 (アップロード時の通信経路は暗号化されており、アップロードと同時にファイルのウイルススキャンを行うため安全性が高い) |
| 2) | クラウドストレージサービスや送信者の電子メールなどを使って、電子ファイルの受信者へファイルをダウンロードするための情報を伝達する。 (ファイル受信者へクラウドストレージサービスがメールを自動送信したり、送信者がチャットなどで連絡したりする) |
| 3) | 受信者は、Webブラウザを経由してストレージサービスから共有された電子ファイルをダウンロードする。 (①でウイルススキャンをしていることでファイル自体の安全性は確保できており、ダウンロード時の通信経路も暗号化されている) |
クラウドストレージサービスを使うメリットとして、電子ファイルの共有に関するセキュリティリスクを低くするさまざまな機能を持っていることが挙げられます。
たとえば、ダウンロードできる期間を1週間と限定することで、電子メールを盗み見されてもすぐにダウンロードしないとファイルを取得できなかったり、ダウンロードできる人を限定できたり、緊急でファイルを削除できたりする機能です。
なお、クラウドストレージサービス以外の安全性を高める方法として、PGP、S/MIMEという暗号化の技術を使って電子メール自体を暗号化する技術もあります。しかし、初期や運用にかかるコスト(手間と費用)、受信相手の協力が必要になるといったハードルがあり、なかなか一般的に普及していないのが現状です。
これまで当たり前だと思っていたセキュリティ対策も、時代とともにその「当たり前」が変化していきます。Password付きファイルが添付されている電子メールの受信を拒否する企業も徐々に増えてきており、そうした企業との取引を継続するためにも、クラウドサービスの採用を検討する必要性が高まりつつあります。
キャッチアップを怠らず、しっかりと環境の変化に追随していくようにしましょう。
【SMBC経営懇話会会員限定】
情報セキュリティのお悩みに対応する個別相談会(東京)のご案内
| 情報セキュリティ対策よろず相談(WEB相談可) 講師:さくら情報システム株式会社 技術開発部 鈴木優一 開催場所:SMBCコンサルティング株式会社 東京本社 開催日時:2022年12月8日(木)10:00~17:00 ご案内兼申込書へ |
SMBC経営懇話会のサービスはこちらをご覧ください
SMBC経営懇話会のご案内
「Netpress」はPDF形式でもダウンロードできます
SMBCコンサルティング経営相談グループでは、税金や法律など経営に関するタイムリーで身近なトピックスを「Netpress」として毎週発信しています。過去の記事も含めて、A4サイズ1枚から2枚程度にまとめたPDF形式でもダウンロード可能です。
プロフィール
SMBCコンサルティング株式会社 ソリューション開発部 経営相談グループ
SMBC経営懇話会の会員企業様向けに、「無料経営相談」をご提供しています。
法務・税務・経営などの様々な問題に、弁護士・公認会計士・税理士・社会保険労務士・コンサルタントや当社相談員がアドバイス。来社相談、電話相談のほか、オンラインによる相談にも対応致します。会員企業の社員の方であれば“どなたでも、何回でも”無料でご利用頂けます。
https://www.smbc-consulting.co.jp/company/mcs/basic/sodan/
この記事が気に入ったらシェア!
関連キーワード
コンプライアンス・リスク対応 テクノロジー
