セキュリティの「PPAP」とは?
「PPAP」という言葉が昨年末突如としてニュースで話題となった。「ペンパイナッポーアッポーペン」のことではない。
の略称だ。つまり、暗号化したパスワード付きZipファイルを添付したメールを送り、その直後に解凍する際のパスワードを別のメールで送るという手順を示している。
PPAPの問題点
日本では当たり前のように行われているが、PPAPには以下3つのリスクがある。
① メールの盗聴リスク
万が一パスワード付きZipファイルが攻撃者により窃取された場合、同じ通信経路から送られたパスワードも窃取されてしまうリスクがある。仮に、パスワードを盗まれなくとも、専用ツールを利用すればパスワードを短時間で解析されてしまうともいわれているため漏洩リスクは拭えない。
② マルウェア感染のリスク
パスワード付きZipファイルはウイルスチェックができない場合があることも深刻な問題だ。昨年世界規模で被害が増大した「Emotet」というマルウェアが、メールに添付されたパスワード付きZipファイルに仕込まれていたという事例もある。安全性を考慮した手段のはずが、脅威の隠れ蓑とされてしまうのだ。
③ 受信者側の生産性の低下
ファイル受信者にとってパスワード入力は手間となるうえに、複数のファイルをやり取りしている場合はパスワード管理も負担となる。さらに、スマートフォンではZipファイルを開封できないものもあり、あらゆるデバイスを利用した働き方が進められる今、環境によって利用できないことは生産性の低下につながる。
以上の3つからPPAPにはセキュリティや生産性の面で多くの問題を抱えていることが分かった。では、他にどのような方法でファイルを受け渡すことが望ましいのだろうか。
有効な代替案が「クラウドストレージ」
代替案としては、「クラウドストレージ」の活用が挙げられる。直接メールでファイルのやり取りをするのでなく、データをクラウド上に保存し共有する方法だ。サービス利用者同士であれば特定の相手のみに共有でき、サービスを利用していない相手でも、有効期限やダウンロード回数の制限を設けることで安全に共有できる。パスワードの別送が不要なのでメール送信数を削減でき、ファイル添付によるメール容量の逼迫も心配しなくて良い。また、共有後もクラウド上でファイルを管理するため、メールで送ったままの状態を防げるというメリットもある。
このようにメリットは多くあるが、クラウドストレージであれば何を利用しても良いわけではない。BoxやOneDrive、Dropboxなどセキュリティが強固かつあらゆるデバイスで運用可能なサービスを選定することが重要だ。
クラウドストレージ利用に立ちはだかる壁
便利かつ安全なクラウドストレージだが、「利用に踏み切れない」という声が企業から上がっている。理由は、不正アクセスによる情報漏洩や故意に情報を持ち出す内部不正といったリスクが残るためだ。このため、社内ルールでクラウドストレージ自体の利用を禁止している企業も多い。
クラウドストレージを業務で安全に利用させる有効な手段はあるのだろうか。
Webフィルタリングで安全に業務活用
Webフィルタリングによって利用できるクラウドストレージを制限することが有効な手段のひとつだ。ALSIのWebフィルタリングソフト「InterSafe WebFilter」は、会社契約のアカウントのみクラウドストレージのログインを許可することができる。これにより、セキュリティリスクのある無償サービスの利用や内部不正を防ぎ、シャドーIT対策を実現する。
ファイルに潜むリスクは無害化で対処
クラウド上のファイルそのものに潜む脅威への対策も忘れてはならない。アンチウイルス機能が付いているクラウドスレージも多いが、危険なスクリプトや未知のマルウェアへの対処はできない。そのため、対策としてはファイルのウイルスチェックと無害化の併用が効果的だ。ALSIのファイル無害化オプション「InterSafe FileSanitizer Powered by OPSWAT」は、クラウドストレージからファイルをアップロード、ダウンロードする際にウイルスチェックと無害化を実行。ウイルス感染しない・させない対策で安全な受け渡しが可能だ。
今回の政府の決定により、すでにPPAP廃止を発表した企業も現れ始めている。今後、セキュリティの観点から"脱"PPAPの流れはますます加速していくだろう。セキュリティ対策で遅れをとらないように、クラウドサービスとセキュリティ製品を上手に活用し、"脱"PPAPへの歩みを進めてはいかがだろうか。
オンプレミス型Webフィルタリング「InterSafe WebFilter」