ワーキング革命 -最終回
PPAP問題の解決でセキュアなテレワークを実現
全64回にわたって、国内企業の働き方改革に関する取り組みからビジネスチャンスを探ってきた本連載も、今月号で最終回を迎える。今回は、2020年11月26日に内閣府と内閣官房が廃止した、メールにパスワード付きファイルを添付し、後からパスワードを別メールで送る「PPAP」(Pre send Password file After send Password)について取り上げる。脱PPAPを推奨するデジタルアーツに、PPAPの課題や対策について聞いた。
文/田中亘
PPAPが抱える数々の問題
コロナ禍でメールによるドキュメントのやりとりが増える中、多くの企業でPPAP運用の是非が問われている。PPAPによる運用の見直しが求められる背景には、次の三つの理由が挙げられる。
①添付ファイルと別送のパスワードを入力する手間が発生して利便性が低い。
②iOSやAndroidといったPC以外のモバイルデバイスでの閲覧や暗号化ファイルの解凍ができない。
③ファイルを暗号化していてもメールの通信経路のハッキングにより、情報漏えいの危険がある。
メールセキュリティ対策として、エンドポイントセキュリティソリューションを導入している企業も多いだろう。ZIPファイルを解凍してスキャンを実行し、危険を検知するソリューションだが、パスワード付きZIPファイルの場合、ZIPファイルを解凍できず、スキャンをすり抜けてしまうリスクもある。安全のためのPPAP運用が、結果としてマルウェアの感染リスクを高めてしまう恐れがあるのだ。
こうした数々の問題に加えて、デジタルアーツではさらなる課題を指摘する。例えば、メールの誤送信による情報漏えいのリスク。受信者に削除を依頼しても、確実に削除されたかを確認するのは不可能だ。また、受信者がZIPファイルを解凍してしまえば、そこから先は内容の秘匿性が薄れていく。解凍後のファイルをそのまま第三者に転送されてしまえばパスワード付きの意味がなく、情報漏えいのリスクも高まってしまう。
三つの暗号化で強固に運用
デジタルアーツが提唱するPPAP問題への対策の一つが、「FinalCode」というファイル暗号化・追跡ソリューションだ。FinalCodeは、ファイルに対して操作制御やログを取得し、万が一の場合には「社外に渡したファイルを後から消す」ことができる。
FinalCodeは、ファイルの暗号化と閲覧を行う「FinalCodeクライアント」とファイルの権限情報などを管理する「FinalCodeサーバー」で構成される。ファイルを送るクライアント側では、対象となるドキュメントに対して三つのファイル暗号化の方法を選択できる。一つ目が、強固に運用したい場合に有用な「FCLファイル」での暗号化だ。ユーザーごとに閲覧や編集を制限するといったファイルの操作権限を付与できる。二つ目が、「ブラウザービューファイル」での暗号化。専用クライアントソフトがインストールされていないモバイルデバイスでも、暗号化ファイルをWebブラウザーから閲覧可能なファイルとして送付できる。三つ目が、リテラシーを問わず利用できる「透過暗号ファイル」での暗号化だ。ファイルを作成したタイミングで自動的に暗号化されるため、ユーザーは暗号化を意識することなく利用でき、セキュリティ対策も行える。
PPAP問題の中でも、この1~2年で急速に増えている被害が「Emotet」を代表とする悪質なマルウェアの感染リスクだ。暗号化されたファイルは、ウイルス対策ソフトの検知をすり抜けてしまう。加えて、標的型攻撃メールは、巧みな文面で添付ファイルを開かせようとする。旧来のエンドポイントセキュリティソリューションでは、対応が後手に回ってしまうケースが多く、ニュースになるほどの重大なセキュリティ被害が発生している。こうした問題を根本的に解決するためには、PPAPの廃止だけでは不十分であると言える。そこでデジタルアーツでは、標的型攻撃メールへの対策として「m-FILTER」を提供している。
m-FILTERは、ZIPパスワードロックされているファイルに対しても強力な判定技術でメールの安全性を確認するフィルタリング・ソリューションだ。「m-FILTER DB」という安全な送信元の「IPアドレス」と「メールドメイン」を格納しているDBを基に、安全な送信元からのメールは受信し、登録されていない送信元からのメールは危険な可能性があるという偽装判定を行う。ZIPパスワードで保護されたファイルを受信した際は、受信者にパスワードを入力する通知メールを送信する。そして、受信者が入力したパスワードで添付ファイルを解凍し、安全な場所で検査を実施する。m-FILTERとFinalCodeを連携させることで、送信メールの添付ファイルもFinalCodeによる自動暗号化を実現できる。
セキュリティを見直して損失回避
旧来からのセキュリティ対策を漫然と運用してきた情報システム部門は、PPAP問題に加えセキュリティの抜本的な見直しが急務と言えるだろう。その理由の一つが、悪質さを増す標的型攻撃メールの増大だ。セキュリティ関連の取材を続けている筆者も、この数年で標的型攻撃メールの文面の変化を実感している。当初は、怪しい日本語のタイトルや文章が多かった標的型攻撃メールだが、最近では流ちょうな表現になり、その内容も官公庁や大学など、特定の機関に向けたメールであるかのように巧妙さが増している。被害を最小限にとどめるためには、個々の社員のセキュリティ意識を高める努力も必要だが、PPAPに代わるソリューションや運用方法の対策も求められる。
セキュリティ関連の商材は、多くの経営者にとってコストと捉えられがちだが、中央省庁がPPAP問題に踏み込んだように、対策が後手に回ればコストを大幅に超える被害が発生してしまう。事実、国内外で発生しているランサムウェア関連の被害では、莫大な身代金が支払われている。こうした損失を出さないためにも、PPAP問題をきっかけとして、最新のセキュリティ対策の提案が求められている。
筆者プロフィール:田中亘
東京生まれ。CM制作、PC販売、ソフト開発&サポートを経て独立。クラウドからスマートデバイス、ゲームからエンタープライズ系まで、広範囲に執筆。代表著書:『できるWindows95』『できるWord』全シリーズ、『できるWord&Excel2010』など。