こんにちは。「クロジカ大容量ファイル管理」マーケティングの畝です。
「パスワード付きZIPファイル送信」(PPAP)は、データの共有手段として広く普及していますが、情報セキュリティリスクがあるため、利用が問題視されています。令和2年11月には、当時のデジタル大臣が、内閣府の全職員に向けて、外部へのファイル送信時のPPAP方式の利用を廃止すると発表しました。各省庁や民間企業でもPPAP廃止が急速に広まっています。この記事では、PPAP問題を詳しく解説します。皆様の会社では、PPAP問題に十分対策できているかを考えてみましょう。
Contents
セキュリティの脆弱性:データ漏洩のリスク
PPAPとは、パスワード付きのZIPファイルをメールに添付し、データを共有する方法です。ZIPファイルを添付したメールとは別のメールでパスワードを送付するため、安全性が高いと考えられていました。しかし、実際には、PPAP方式にはセキュリティの脆弱性があり、データ漏洩を招くリスクがあります。具体的にどのようなリスクがあるのかみていきましょう。
パスワードの危険性
PPAP方式では、ZIPファイルにパスワードを設定することでデータを保護します。しかし、PPAPの暗号強度が十分でないため、推測しやすい脆弱なパスワードを設定してしまうと、比較的容易に読み取られる恐れがあります。また、ZIPファイルのパスワードは、入力回数に制限があるログインパスワードと異なり、パスワード解読に時間制限がないため、攻撃者が時間をかければ解読できるといわれています。
エンドツーエンド暗号化の不足
幅広いOSで採用されているPPAPの暗号化方式(ZipCrypto)は、暗号強度が低く、ツールを用いれば短期間でパスワードが解析されてしまう恐れがあります。総務省の「テレワークセキュリティガイドライン第5版」で推奨されている暗号化形式に、エンドツーエンド(E2E)があります。エンドポイント間でのデータ転送を安全に行い、第三者の不正アクセスを避ける通信プロセスですが、PPAPには採用されていません。
参考:総務省|テレワークセキュリティガイドライン(第5版)(令和3年5月)
アクセス管理の難しさ:権限の制御
PPAP方式は、データへのアクセスを監視する手段が備わっておらず、アクセス管理が難しい側面があります。送付されたZIPファイルとそのパスワードがわかれば、誰でもファイルにアクセスできるため、アクセス権の制御が困難です。ここでは、PPAPのアクセス管理の難しさについて解説します。
共有ファイルの制御が難しい
PPAP方式には、送信相手を誤り、意図しない相手にZIPファイルとパスワードの両方を送ってしまう誤送信リスクがあります。さらに、共有したファイルのアクセスを制御できません。また、ZIPファイルとパスワードを別々のメールで送信しても、情報漏洩リスク対策になりません。1通目のZIPファイルを誤送信した場合、2通目のパスワード情報も1通目と同じ宛先に誤送信する可能性が高いでしょう。
パスワードの共有
ZIPファイルを複数名で共有する場合、パスワードも共有する必要があります。パスワードを知る人数が増えれば、それだけ不正アクセスのリスクが高まるでしょう。ZIPファイルを送付した送信者が意図しない人にも、ファイルが共有される可能性があります。
操作の煩雑さ:効率性の低下
PPAP形式は、データの送信者と受信者双方の操作が煩雑であるため、作業効率が下がってしまいます。送信者は、ZIPファイルとパスワードを2通のメールに分けて送信しなければなりません。一方受信者は、ZIPファイルを開くためにパスワードを探し入力する手間が発生します。
パスワードの管理
ZIPファイルは開くたびにパスワードを要求されるため、パスワード管理が必要です。複数のZIPファイルにそれぞれ異なるパスワードが設定されていた場合、各ZIPファイルのパスワードを管理しなければなりません。新たにパスワード管理作業が発生してしまい、作業効率の低下につながるでしょう。
受信者側の手続き
PPAP方式は、特に受信者側の操作に手間がかかる方法です。1通目でZIPファイルを受信しても、2通目のパスワードが送付されるまでファイルを開けません。ZIPファイルを開くために、メールボックスから2通目のメールを探す手間も発生します。さらに、前述のパスワード管理や、パスワード入力作業も受信者側の作業効率を下げる要因になるでしょう。
リスクの予測困難:監視と対策の不足
PPAP方式は、データへのアクセスを監視する手段がありません。そのため、不正アクセスやウイルス感染が発生してもすぐに気づけず、インシデント対応が遅れる恐れがあります。
不正アクセスの検知が難しい
電子メールは、複数のネットワークを経由して受信者へ届きます。もし、これらのネットワークのうちどこか一か所でも暗号化されていない通信経路があれば、盗聴や不正アクセスの可能性が高まります。万が一不正アクセスが発生しても、PPAP形式では誰がデータにアクセスしたかを監視する手段がないため、検知が遅れる可能性があります。
インシデント対応の遅れ
サイバー攻撃やウイルス感染などのインシデントが発生した場合、被害を最小限に抑えるためには、発生時の初動が大切です。インシデント状況や被害範囲の把握、対応方針の決定を早急に行う必要があります。不正アクセスの検知が難しければ、インシデントが発覚するまでに時間がかかり、対応が遅れる可能性があります。その結果、被害が拡大する恐れがあるのです。
PPAP対策方法
では、どうすれば安全にデータ送信が可能になるのでしょうか。PPAPに代わるファイル送信方法として、クラウドストレージを活用した送信が有効です。クラウドストレージは、いくつかのPPAP問題を低減できます。ここでは、クラウドストレージの活用メリットを3つご紹介します。
1つ目に、クラウドストレージは、PPAPのような盗聴リスクを軽減できます。通信が暗号化されており、盗聴を防ぐシステムが装備されています。
2つ目に、メール誤送信による情報漏洩を防止できます。クラウドストレージ内のフォルダやファイルに予めアクセス権を設定すれば、仮に共有リンクを誤送信しても、権限がなければファイルにアクセスできません。
最後に、クラウドストレージを活用すれば、情報共有が円滑になります。PPAPのような作業効率の低下は発生しません。クラウドストレージ内のファイルは、権限を持つ人ならいつでもアクセスできます。データの検索性も高いため、過去のデータでも容易に探し出せるでしょう。
まとめ
PPAP問題には、セキュリティの脆弱性、アクセス管理の難しさ、操作の煩雑さ、リスクの予測困難性が挙げられます。皆さまの会社でPPAPを使用している場合、これらのPPAP問題に適切に対処できているか、今一度見直してみてはいかがでしょうか。
PPAPに代わるファイル送信方法として、クラウドストレージを導入する際には、安全性を第一に選択することが大切です。「クロジカ大容量ファイル管理」は、利便性と安全性を両立したクラウドストレージです。「クロジカ大容量ファイル管理」のファイル管理ソフトは、不正アクセス対策として、通信が暗号化されています。また、万が一ユーザーパスワードが流失しても、不正アクセスをブロックできる二要素認証機能も有効です。
初期構築費用は無料で簡単に導入できます。PPAP対策として、クラウドストレージの導入をご検討されている方はぜひご相談ください。
参考:内閣府|平井内閣府特命担当大臣記者会見要旨 令和2年11月24日
初めてのクラウドストレージに「クロジカ大容量ファイル管理」
「クロジカ大容量ファイル管理」は、社内外でファイル共有の機会が多い企業様、広範囲において膨大なデータや情報を扱う企業様にとって、データ管理の"はじめの一歩" となるサービスです。
「クロジカ大容量ファイル管理」は初期構築費用を無料でスタートすることができます。
さらにマルチデバイス対応なので、タブレットからスマートフォン、PCからスマートフォンなどデバイスをまたいでデータ交換が可能です。また、プロジェクト単位でフォルダ分けして、部署間を超えたファイル連携や取引先とのデータ共有など、利用者数に合わせたプラン選択ができます。簡単に導入でき、安心安全で利便性の高い機能を備えています。ファイル管理でお悩みの方はぜひお気軽にご相談ください。