こんにちは。「クロジカ大容量ファイル管理」マーケティングの畝です。
データ共有の手法として広く利用されてきた『パスワード付Zipファイル送信』(PPAP)ですが、その安全性については『そのデータ共有方法はホントに安全ですか』でご紹介しました。今回は、改めてPPAPが招く可能性のある問題点を整理し、その解決方法について解説します。
Contents
PPAPによる信用失墜リスク
内閣府がPPAP廃止を宣言した2020年11月からまもなく3年になります。霞が関や大手企業を皮切りに多くの機関や企業でPPAP排除の動きが浸透している一方で、PPAP被害の報告が後を絶ちません。
サイバーソリューション株式会社が23年1月に従業員300人以上の企業で働く社員1,063人に行った調査によると、企業による脱PPAPの動きがまさに過渡期にあることが報告されています。PPAPを利用している企業の8割が代替策を検討しているものの、約3割の企業がPPAPのみに依存している実態も浮き彫りになりました。
※参考文献:『サイバーソリューション株式会社『脱PPAPの実態調査2023』
PPAPからの脱却を阻んでいる理由としては、新たなシステムの導入コスト問題、新たな手法を導入することが億劫、ネットリテラシーの欠如等が考えられます。脱PPAPに消極的な企業は、外部との情報共有をPPAPに依存している姿勢そのものが組織にとって大きなリスクであることを改めて認識すべきです。
顧客やパートナー(取引関係)からの評価への影響
世の中が脱PPAPに向けた動きを強めているなかで、PPAPによる情報共有を行っている企業は、その信用を自ら失墜させる危険を抱えています。
セキュリティが不十分なデータ共有方法を使用している企業は、具体的な被害発生の有無にかかわらず、リスクに対する感度の鈍さや対策の未熟さを取引先に露呈し、結果的に大切な顧客やパートナーからの信用を失いかねません。
機密データの安全性への脅威は、情報化社会においては真っ先に対応すべき企業リスクです。情報に関する安全性を重視する企業であれば、PPAPを利用し続ける企業との取引を見直すことに繋がるはずです。
機密情報の漏洩
PPAP被害でもっともダメージが大きいのは機密情報の漏洩です。自社の情報のみならず、第三者の情報漏洩が発生してしまうと、情報が流出してしまった被害者への影響だけでなく、問題を発生させた企業の信用力は大きく棄損されます。
被害の内容によっては損害賠償責任に発展し、情報漏洩を起こした企業の存続にまで影響を与える懸念すらあります。被害者であるはずの企業に対しても、そのような取引先を見過ごしていた事への批判が避けられないでしょう。機密情報の保全はいまや、企業のBCP(事業継続計画)に組み込まれる重要なテーマの一つです。
手間と時間の浪費
パスワード管理の煩雑さ
PPAPによる情報共有では、メール送信の際にファイル別に異なるパスワード設定が不可欠です。仮にパスワードを自動生成する場合でも、送信者と受信者でパスワードを共有し、お互いに管理する必要があります。PPAPでは常に、こうした煩雑で非効率な作業が求められます。煩雑な手順は誤送信などのヒューマンエラーを誘発する可能性を大きくします。
受信者の手間
PPAPではファイルを受け取る側にも非効率な作業を要求します。受信者がファイルのダウンロード前にZIPファイルを解凍し、別メールで受け取ったパスワードを使って解除手続きをする必要があります。往来する膨大なメールの件数に比例して手間と時間がかかり、生産性が低下します。これも目に見えないPPAP被害の一つです。
添付ファイルが招いた被害事例
PPAP被害の典型例は添付ファイルに仕込まれたEmotetなどのマルウェアに感染することです。何度も脅威が解消されたかに見えたEmotetですが、現在も収束と攻撃再開を繰り返していると考えられます。独立行政法人情報処理推進機構(IPA)によると、これまでに何度も攻撃再開の注意喚起が行われており、その度に一定期間内に集中した攻撃が確認されています。
参考文献:IPA『取り組みに関するアンケート調査』
それでは、メールによる添付ファイルを原因とする具体的な被害事例を検証してみましょう。
経産省委託先からメールアドレスが大量流出
2022年3月に経済産業省の委託先として太陽光発電の申請代行業務を行っている一般社団法人太陽光発電協会JPEA代行申請センターがEmotetに感染し、代行業務を中断しました。同協会の調査によると、メールアドレスだけでも9万件超、流出したメールは85万件を超えた可能性があります。
同センターはその後、ドメインを刷新するなどの対策を講じたのちに代行業務を再開しています。業務の中断はおよそ1か月におよびました。
参考文献:JPEA『Emotet感染に対するセキュリティ対策と業務再開』
One Note形式を悪用した最新事例
2023年3月にEmotetによる感染を狙った新たな手法が報告されました。.one形式の大容量ファイルを送りつけることでEmotetに感染させる手法です。添付ファイルを悪用する点ではPPAP被害と変わりませんが、ファイルが圧縮されておらず500MBを超える大容量ファイルが.one形式でメールに添付されていることが特徴です。
ファイルを開こうとするとviewボタンがポップアップされます。このviewボタンの裏に悪意のある攻撃ファイルが隠されています。クリックすると警告ウィンドウが表示されますが、警告を無視してファイルを開くとEmotetに感染する仕組みです。従来の検知機能をすり抜けやすい、.One形式や大容量ファイルを利用した新しい攻撃手法と言えます。
参考文献:IPA『One Note形式のファイルを悪用した攻撃』
対策方法の解説~セキュアなファイル共有
PPAPを用いずに外部とファイルを共有する手法は複数ありますが、求められているのは効率的で漏洩リスクのないセキュアなツールです。具体的にはどのような代替策があるのでしょうか。
ファイル転送サービス
ブラウザでアップロードしたファイルのURLを送信することで共有する方法です。情報を保管している場所を案内し、メール受信者が保管場所からファイルをダウンロードできる仕組みです。
ファイル送信が手軽であり、リスク低減のためにダウンロード期間を設定することが可能ですが、PPAP同様にメールの誤送信には対応できません。ヒューマンエラーに対応できないことは情報管理上の致命的な欠陥となります。ダウンロードした履歴(ログ)が残らない点も管理上のリスクです。
S/MIMEのよるメール暗号化
Secure / Multipurpose Internet Mail Extensions(エムマイム)は、公開鍵方式で暗号化したメール内容とデジタル署名でファイルを管理することにより、データの改竄や機密性の確保が期待できる送受信方式です。データ管理上のメリットは期待できますが、メールを送受信する双方がS/MIMEに対応したソフトウェアを導入する必要があるため普及が進んでいないのが実態です。汎用性の観点からは今後も利用が広がる見込みはありません。
クラウドストレージ
クラウドストレージのメリットは、大容量ファイルを共有できるだけでなく、管理者によるファイル削除や共有を解除できるなどのリスク管理上の対応が可能な点です。ログが保存されるため、いつ誰がどのファイルにアクセスしたかを把握でき、ファイル毎にアクセス可能なメンバーを設定することも可能です。
クラウド事業者が提供する高い技術により、共有時の通信データの暗号化やファイルのウィルスチェックなどの高いセキュリティも期待できます。
まとめ
PPAPに代表される添付ファイルによって情報を共有する手法は、業務効率を低下させるだけでなく、マルウェアによる攻撃やヒューマンエラーによる信用失墜の可能性を抱えていることが分かります。これまでに多くの機関・企業が脱PPAPを終え、社会全体としてPPAPは終息に向かっています。
一方、企業が外部と共有すべき情報量は今後も増え続け、どのような方法でファイルを共有すべきかは企業にとって重要な課題です。一度のミスで取引先や社会からの信用を失わないよう、外部との情報共有方法の選定には十分なリスク評価を行うべきです。
初めてのクラウドストレージに「クロジカ大容量ファイル管理」
「クロジカ大容量ファイル管理」は、社内外でファイル共有の機会が多い企業様、広範囲において膨大なデータや情報を扱う企業様にとって、データ管理の"はじめの一歩" となるサービスです。
「クロジカ大容量ファイル管理」は初期構築費用を無料でスタートすることができます。
さらにマルチデバイス対応なので、タブレットからスマートフォン、PCからスマートフォンなどデバイスをまたいでデータ交換が可能です。また、プロジェクト単位でフォルダ分けして、部署間を超えたファイル連携や取引先とのデータ共有など、利用者数に合わせたプラン選択ができます。簡単に導入でき、安心安全で利便性の高い機能を備えています。ファイル管理でお悩みの方はぜひお気軽にご相談ください。