皆さんこんにちは!マクニカネットワークスにてSaaSチームに所属しております、髙瀬です!この度はBoxさんのプログページに寄稿させて頂くことになりました。
皆さんは「PPAP」という言葉を聞いたことがあるかと思います。ご存知「PPAP」はファイル共有をメールで行う際のメールセキュリティに関する用語になりますが、昨年、平井卓也デジタル改革担当大臣が「PPAP撤廃」の発言をしたことから話題になっています。
今回は改めて「PPAP」とはどのような問題点があるのか、そしてBoxを「PPAP対策」に活用するためにはどんな手法があるのか、を解説してみたいと思います!
PPAPとは?
まず改めて冒頭におさらいですが、PPAPとは、「Password付きZipファイルを送ります、Passwordを送ります、Aん号化(暗号化)Protocol(プロトコル)」の略で、暗号化したパスワード付きZipファイルを添付したメールを送り、その直後に解凍する際のパスワードを別のメールで送るという手順を指しています。共有したい機密情報などを含んだZipファイルが万一流出した場合に、パスワードを別送することによって、悪意のある第三者に閲覧されないようにする、という考え方に基づいたセキュリティ対策です。
現在、PPAPは政府や日本企業の多くでファイル送受信の際のセキュリティ対策として実践されています。しかし最初のメールを盗聴できた場合は、次に送られたパスワード入りメールも盗聴できる可能性が高いなどの理由から、逆にセキュリティリスクになってしまっている、と問題点が指摘されています。
セキュリティリスクの指摘がありながらも対策が進んでこなかったPPAPですが、2020年11月から一気に注目を集めることになります。そのきっかけは、平井卓也デジタル改革担当大臣が、中央省庁におけるパスワード付きZipファイルの利用を止める方針を発表したことでした。これにより「PPAP」という単語が一躍話題となり、「PPAP全面禁止」がTwitterのトレンドワード国内1位になるなど、多くの関心を集めました。従来のメールシステムは変革の時期が来ており、今企業が取り組むべきホットな課題ともなっているのです。
PPAPの問題点
自社におけるメールセキュリティのこれからを考える為にも、改めてPPAPの問題点について正しく理解しましょう!
メールからの情報漏えいのリスク
1つ目の問題点は、情報漏えいのリスクがあることです。PPAPでは、Zip化しパスワード付与された(暗号化された)ファイルを送付する前後で、パスワードが記載された別メールを相手に送信します。
ファイルは暗号化されているため、送信途中でファイルを盗聴されても中身を読めず漏えい防止になると考えられていましたが、ファイルを添付したメールを盗聴されるということは、前後して同じ経路を流れるパスワードが記載されたメールも盗聴される可能性が高いということになります。そのため漏えいリスクがあり、セキュリティレベルを担保できないと指摘されています。
ウイルスチェックができない
2つ目の問題点は、ウイルスチェックができない点です。PPAPで送られる暗号化ファイルは、クラウドメールサービスのセキュリティチェックやネットワーク上のウイルスチェックを通らずに送付されてしまいます。そのため、マルウェアに感染しているとは知らずに、メールの添付ファイルを開いてしまうケースがありとても危険です。
実際に、2020年には「エモテット」と呼ばれるマルウェアが世界中で流行しました。メールの本文などの情報を窃取し、関係者の返信などに見せかけたメールを送って信用させ、マルウェアを含む添付ファイルを開かせて感染させるという攻撃が実施されています。
受信者側の生産性の低下
3つ目の問題は、受信者側の生産性が低下する点です。受信者側は受け取ったファイルごとにパスワードを管理する必要があり、またZipファイルを開くたびにパスワードを入力する手間がかかります。
取引先ごとに一定期間、同じパスワードをかけることも可能ですが、ファイルを開くたびにパスワードを入れる手間までは減らせず、またパスワードが漏洩した場合に多くのファイルが開封できてしまうため、セキュリティリスクを考えると適切とは言えません。
Boxを利用した代替方法
代表的なPPAPの問題点を解説してきましたが、ここからは実際の代替策にはどのようなソリューションがあるのかをご説明いたします!まずはBoxを活用した代替方法です。送受信したいデータをBoxに格納し、受信者とセキュアなリンクやコラボレーションで共有する方法が注目されています。
クラウドストレージBoxでの共有のメリットはBox社より下記のように解説されております。
クラウドストレージであればフォルダへのアクセスをコントロールできるため、セキュリティ対策が十分となります。共有する人の範囲も選ぶことができます。
ファイルをやり取りする際のメールも、ファイルの置き場所(リンク)を知らせる1回だけで済むので効率がよいなど、多くのメリットがあります。そのうえ、メールは送信できる容量に限度がありますが、クラウドストレージではメッセージサイズのみで極小化されます。
また、Boxであれば受信者がそれぞれのデバイスにダウンロードしなくても、クラウド上で共有したり共同編集したりすることも可能です。さらに、万一どちらかのハードディスクがクラッシュしたり、ウイルスに感染したりした際にも、ファイルはクラウド上で安全に保つことができます。
Box Squareブログ「PPAPとは?パスワード付きZipファイル添付を政府が辞める理由」から抜粋
(参照2021-6-2)
Boxは容量無制限のクラウドストレージですので、共有するファイルの容量を気にせずに利用ができます。また、利便性の向上やセキュリティ面も考慮した共有が可能となります。
Box×mxHeroによる、より強固でセキュアなメールマネジメントシステム
弊社マクニカネットワークスではBoxと「mxHero」というメールセキュリティソリューションを掛け合わせて、より強固でセキュアなメールマネジメントシステムをご提供しています。 mxHeroは創業当初よりフルクラウドでのメールマネジメントの開発にフォーカスしており、Boxと密に連携したソリューションを提供しております。
Box×mxHero仕組み
Box×mxHeroを従来のメールシステムに併せて活用すると、メールシステムに変更をすることなくZipファイル添付をなくすことができます。以下の図のように添付ファイルを送信すると、ウイルススキャンしたファイルを自動的にBoxへアップロードし、共有リンク(URL)の発行、メールへ追加するまでを自動で行います。
受信者側はBoxの共有リンク(URL)をクリックするだけでファイルの閲覧ができ、これにより、従来のZip化されたファイルをパスワードで開く作業は不要となります。
ファイル送信後も、送信者はBoxの画面からファイルの変更やアクセス履歴の管理が可能でき、誤ったファイルを送付した際は、Boxから共有リンクを削除して対処することができます。
なぜBox×mxHero?
mxHeroはMicrosoftのOne DriveやGoogle Driveとも連携します。このように世の中には多くクラウドストレージが存在しますが、BoxとmxHeroを連携させるのが一推しです!
その理由はBoxの「セキュリティ」にあります!
Boxは他のクラウドストレージサービスと比べてもアクセス権設定が多くあり、共有する人ごとに異なる権限を付与することもできます。mxHeroから違う人に誤って共有リンクを送付してしまっても、Boxからアクセス権をコントロールすることによって閲覧範囲を絞ることができます。
また、Boxでは単なるクラウドストレージ機能だけではなく、コンテンツ管理の機能もあり、例えば、法律で保存期間が決まっている文書の削除防止の設定や、データを完全削除できるユーザーを制限するなど、データ紛失対策をとることもできます。また、通常アクセスされない場所からアクセスがあった際や、異常なファイルの送付が発生した際には通知をするといったより高度なコンテンツセキュリティを取ることも可能です。
さらには、Boxは容量無制限であり添付ファイルをBoxに移動することで、メールボックスのストレージ利用を減らせるなど、コスト削減にもつながります!
セキュリティを担保できて、さらにはコスト削減できるとなるともうBox以外のクラウドストレージは考えられません!
[SMART_CONTENT]
まとめ
従来のメールシステムのあたり前として利用されてきた「PPAP」ですが、今がまさに変革のときとなっています!Box×mxHeroの連携で従来のメールシステムからエンドユーザーに意識させずにセキュアな運用が可能となります。脱PPAPへの対策としてだけでなく、自社のコンテンツセキュリティのあり方を再度見直し、自社にとって適切な対策を検討してみてはいかがでしょうか。
この記事が皆様の企業でご利用のメールシステムを改めて見直すきかっけとなりましたら幸いです!
より詳細のご説明は、来る7月6日と7日の2日間オンラインで開催されるBoxWorks Digital Tokyoで「Boxで実現、ユーザビリティを追求した脱PPAPと電子帳簿保存法対策」と題し講演をいたします。ぜひご聴講ください。
執筆者
マクニカネットワークス株式会社
Sales & Marketing担当
髙瀬日菜
- トピックス:
- セキュリティ
- 関連トピックス:
- セキュリティ