パスワード付きZIPファイルの送受信は「かえって危険」 ~そのセキュリティと運用上の問題の解決方法

 

インターネットイニシアティブ(IIJ)が2021年3月に公開した調査レポートによると、「パスワード付きZIPファイル」の送信を許可している企業は全体の40~60%。これに対して今後は20%未満となり、激減する見込みであることがわかった(図表1)。

図表1 社外へ添付ファイルを送信する場合のポリシー
図表1 社外へ添付ファイルを送信する場合のポリシー  出典:IIJ

この「パスワード付きZIPファイル」を送信する形態は「PPAP」とも呼ばれ、昨年秋から大きな話題になってきた。PPAPとは、「パスワード付きZIPファイルを送ります、パスワードを送ります、暗号化、プロトコル」の略語で、問題の多い送信形態であることをアピールする狙いで、ピコ太郎氏の“PPAP”(ペンパイナッポーアッポーペン)をもじって命名されたもの。

昨年秋に大きな話題となったのは、平井卓也デジタル改革担当相がPPAPを内閣府などで全廃し、他の省庁でも廃止へ向けて実態調査を進めると宣言したことに端を発している。そこからPPAPの問題がクローズアップされ、日立製作所が2021年4月から全社でPPAPを禁止にするなど廃止へ向けての動きが広がってきた。冒頭のIIJの調査は今年2月に実施されたもので、そうした機運を反映していると見ることができる。

では、PPAPは何が問題なのだろうか。セキュリティと運用の両面から問題が指摘されている。

セキュリティに関しては、「ファイルの情報を守るうえで意味がなく、かえって危険でさえあります」と、ソルパックの水越聖明氏(Power Systems事業部)は警鐘を鳴らす。

「ZIPファイルは何度でもパスワードを入力でき、総当たりツールを使えば簡単に解凍できてしまうので、安全対策として有効とは言えません。また、パスワード付きZIPファイルの受信を許可するような環境では、昨年流行したEmotetのようなマルウェアも通すことになり大変危険です」(水越氏)

運用面では、「容量の大きなファイルを送信できない点や、スマートフォンなどでは専用ソフトがないと解凍できない点」を問題として水越氏は挙げる。さらに手動で送信する場合は、ファイルの圧縮やパスワード設定、パスワードの別送が必要になるので、「手間が多く、業務を遅滞させる要因になります」と指摘する。

PPAPに代わる手段として有力視されているのは、SaaS型のファイル共有サービスとファイル共有ツールである。これについて水越氏は、「送信するファイルを送信者側に置いておく必要がある場合はSaaS型では難しく、ツールしかありません。またファイルのセキュリティレベルの設定はファイル共有ツールのほうがきめ細かく行えます」と違いを述べる。

ソルパックがPPAP対策とファイルの安全な送受信ソリューションとして推奨するのは、ファイル共有ツールの「Secure Mail」である。送信者と受信者間でファイルの数や容量などの制約を受けない自由なファイル共有が可能で、きめ細かいセキュリティ設定やアクティビティ監視なども行えるツールである。さらに送信者側のオンプレミスやプライベートクラウド環境に導入できるので、外部のSaaSサーバーなどにファイルを送らずに済む。

大まかな処理フローは、送信者が添付ファイルを送信するアクションを起こすと、ファイルは自動でSecure Mailサーバーに保管され、メールを受け取った受信者はファイルの保管場所を示すURLをクリックしてダウンロードするという流れである(図表2)。

図表2 Secure Mailによるファイル送付の流れ
図表2 Secure Mailによるファイル送付の流れ

 

このなかで特徴的なのは、送信するファイルの保護レベルを3つから選択可能な点。受信者の種別や属性に即して設定できる。

保護レベルの1つ目は、ファイルの解凍にパスワードを必要としないもの。URLのクリックだけでダウンロードできる。2つ目はファイルの解凍にパスワードを要求するもの。パスワードは送信者のメールアドレスとは別のメールアドレスから受信者に届く。3つ目は、あらかじめ受信者を特定しておき、ファイルの解凍時に受信者のID・パスワードの入力を要求するものである。 

「この保護レベルと、ファイルのダウンロード期限やダウンロード回数の組み合わせによって、目的に応じたセキュリティ設定を行えます。設定はチェックボックスをチェックするだけなので簡単で、安全なファイル送信を実現します」(Power Systems事業部の栃内勇紀氏)

またSecure Mailは、相手先からのファイルを安全に受信する機能も提供している。相手先(送信者)にアップロード先のURLを案内し、そこへファイルをアップロードしてもらう仕組みである。ファイルをメール添付で送信してもらうのではないため、漏洩を回避することができる。またファイルがアップロードされた際、オプションのICAP機能を使ってウイルス/マルウェア防止システムやDLP(データ損失防止)ソリューションと連携させ、ファイルの安全性や正当性を確認することもできる(図表3)。

図表 Secure Mailの「リクエストファイル」機能によるファイル受信の流れ
図表 Secure Mailの「リクエストファイル」機能によるファイル受信の流れ

Secure Mailは監視・管理機能も豊富である。栃内氏は「管理者用の管理パネルと送信者(ユーザー)用のクライアント画面があり、管理パネルでは誰がいつ何のファイルをどのような保護レベルで送信し、受信者がいつ受信し開封したかなどを細かくトレースできます。またクライアント画面ではメールの到達/不達やいつファイルを開封したかなどを確認でき、スムーズに次の業務へ移ることが可能です」と説明する。

Secure Mailのライセンス料金は、30ユーザー60万円で、年間保守料12万円。次年度からは年間保守料のみで利用を継続できる。 

 

・IIJ「メールセキュリティへの取組みに関するアンケート調査(IT管理部門向け)」2021年3月 
・ソルパック「Secure Mail」 

[i Magazine・IS magazine]

More Posts