JP
日本で広まった「PPAP」に潜む課題
電話や郵便、FAX、さらには昨今のテレワークではWeb会議、ビジネスチャットなど、ビジネスの現場ではさまざまなコミュニケーションツールが使われるようになってきました。しかし、いまだに利用する機会が最も多いのはメールではないでしょうか。
このようにビジネスにおけるコミュニケーションツールとして広く利用されているメールですが、一方で情報漏えいなどにつながるリスクがあることも事実です。具体的には、意図しない人に対してメールを送ってしまう誤送信や、通信経路上での盗聴(盗み見)などがあります。
こうしたメールのリスクを回避するために、特に日本で広まったのが「PPAP」と呼ばれる手法です。これは「パスワード付きZipファイルを送ります/パスワードを送ります/An号化(暗号化)プロトコル」を略した言葉であり、まずパスワード付きZipファイルをメールに添付して送信、その後にパスワードを記載した別のメールを送信することを指しています。
PPAPを装って組織内に侵入するマルウェアも!
パスワード付きZipファイルにすることで、仮に通信経路上で盗聴されたとしてもファイルの内容を第三者が見ることは不可能となり、また誤送信した場合でもその後でパスワードを送らなければ、受け取った相手が添付ファイルを見てしまうことを防げると考えられることから、メールによる情報漏えい対策としてPPAPは普及しました。しかし、PPAPではメールによる情報漏えいのリスクを十分に軽減できません。
まず問題として指摘されているのは、添付ファイルとパスワードの両方をメールで送信する点です。このため、メールさえ盗聴できれば添付ファイルとパスワードの両方を手に入れられることになり、ファイルの内容を盗み見ることができてしまいます。さらにパスワードを送信する際、新規メールで改めて宛先を入力するのではなく、送信したメールに対する返信でパスワードを通知する人が少なくありません。これでは、パスワードも誤送信した相手に届いてしまいます。
PPAPが逆にセキュリティ上の脅威となっている事実もあります。現在多くの企業では、メールの添付ファイルにマルウェアが含まれていないかをチェックする、ウイルス対策ソリューションを利用しています。しかしパスワード付きZipファイルで暗号化すると、こうしたソリューションでファイルをチェックすることができません。実際、PPAPを装ってウイルスチェックをすり抜け、組織内に侵入するマルウェアも現れています。
このようにPPAPには問題があることから、2020年11月、当時の平井卓也デジタル改革担当相は会見で、中央省庁においてPPAPを廃止する方針を明らかにしました。この動きは民間企業にも急速に広まりつつあり、最新の調査では4割弱の企業が「PPAPは利用していない」、3割強が「PPAPと他のファイル送信方法を併用」、企業の「脱PPAP」(PPAPから他のファイル送信方法への転換)は約7割と過渡期にあることが示されました。一方で依然として約3割が「PPAPのみを利用」する結果が出ていますが、リスク回避のためにはPPAPからの脱却を早急に検討する必要があります。
出典:サイバーソリューションズ株式会社「企業のメールセキュリティへの取り組みに関するアンケート調査」(2023年1月)
安全なファイル共有を可能にする
オンラインストレージ
外部の人に安全にファイルを送る、PPAPに代わるソリューションの1つとして挙げられるのが「オンラインストレージ」です。これはファイルを保存するためのストレージスペースを提供するクラウドサービスであり、その多くが第三者とファイルを共有するための仕組みを備えています。
オンラインストレージでは、Webブラウザや専用アプリを使ってファイルのアップロードやダウンロードを行います。その際、通信内容をTLS(Transport Layer Security)と呼ばれるプロトコルで暗号化することにより、通信経路上での盗聴の不安を解消しています。
大容量のファイルを社外のユーザーと簡単に共有できることも、オンラインストレージを利用する大きなメリットです。メールの場合、添付できるファイルの容量を数MB~数十MBで制限していることが一般的で、大きなファイルはそのままでは送ることができません。
しかしオンラインストレージであれば、サービスによっても異なりますが数百MB~数十GBのファイルを保存できるため、容量制限を気にせずに大きなファイルを社外の人と共有できます。
こうしたオンラインストレージの1つが「Box」です。10万社以上の企業に採用されている、ビジネス利用に最適なオンラインストレージであり、社内外のユーザーとのファイル共有で利用できるのはもちろん、プランによってはストレージ容量が無制限のため、ファイルサーバーの代わりとしても利用できます。
このBoxでのファイル共有は、特定のユーザーを招待する方法と、URLを共有する方法があります。ユーザーを招待すると、その人にファイルが共有されたことを知らせるメールが届き、そのメール内にあるリンクをクリックするとファイルにアクセスすることができます。
URLでファイルを共有する場合、まず共有するファイルにアクセスするためのURLを発行し、メールなどで共有相手に送信します。そのURLにWebブラウザでアクセスすることで、ファイルを閲覧、ダウンロードできるページが表示される流れです。
このURLを用いたファイル共有において、Boxではファイルにアクセスできるユーザーの制限が可能です。具体的には、社内のユーザーのみ、あるいはあらかじめ共有フォルダーに招待したユーザーのみがダウンロードできるように制限できます。この仕組みを利用すれば、仮にメールでURLを送信し、そのURLが意図しない第三者に盗み見られたとしても、Boxでのファイルの閲覧やダウンロードを防げます。さらにURLでファイルを共有する際には、パスワードや有効期限を設定できるほか、閲覧のみを許可し、ダウンロードは制限するといったことも可能です。
Boxには、ファイルへのアクセス状況や操作の内容などをログとして出力する機能もあります。これによってユーザーの詳細な利用状況を把握し、Boxが適切に使われているか、不審なアクセスがないかといったことを確認できるのは、ガバナンスの観点からも有効でしょう。
NTT Comでは、Boxをセキュアなクローズドネットワーク経由で利用できる「 Box over VPN 」を提供しています。VPNを使ってBoxにアクセスするため、安全にファイルがアップロード/ダウンロードでき、さらにNTT Comが24時間365日の一元保守を行うため、安心して利用できることも大きなメリットです。
AIによるリスク判定もサポートする
メール誤送信対策ソリューション
メールによる情報漏えいで、圧倒的に多いのはメールの誤送信です。この誤送信には、メールの宛先の間違いのほか、Bccで送るべき内容をToやCcで送ってしまう、機密情報をメーリングリストに投稿する、あるいは間違ったファイルを添付して送信してしまうといったパターンがあります。
こうしたミスを防ぐための対策として、まず考えられるのは確認の徹底でしょう。宛先として入力したメールアドレスに間違いはないか、ToとCc、Bccを正しく使い分けているか、正しいファイルを添付しているかといったことを、メール送信前にしっかりチェックします。メールアドレスを自動で補完するオートコンプリート機能の無効化など、設定の見直しも考えられるでしょう。ただ、これらを行ったとしてもメール誤送信を完全に防ぐことは困難です。そこで検討したいのが、「CipherCraft/Mail 7」の活用です。
CipherCraft/Mail 7はメール誤送信の防止に特化したNTTテクノクロス株式会社のソリューションであり、2,500社超の企業で導入されています。
メール誤送信を防ぐための具体的な機能として、まず挙げられるのは送信前のメール誤送信防止画面のポップアップ表示です。この画面では、送信先アドレスや本文、添付ファイルの確認を促します。
ToやCcに入力された宛先が一定数を超えた場合、強制的にBccに変換する宛先漏えい防止機能もあります。多くの顧客に同じ内容のメールを送信するといったとき、本来Bccに入力すべきメールアドレスをToやCcに入力し、メールアドレスが漏えいしてしまうといった事件は少なくありません。この機能を利用すれば、そうしたトラブルを回避することが可能です。
送信するメールのリスクをAIで自動的に判定し、誤送信のリスクが高いと判断した場合に強いアクションで注意を喚起するオプションである「AI+」も提供されています。この機能を利用すれば、初回送信時の入力ミスや似ているメールアドレスの確認ミス、あるいはオートコンプリート機能などによって起こりがちな同姓別人アドレスの混入などをAIが検知すると、ユーザーに対して強い警告を行います。
またPPAPを廃止する際に役立つものとして、パスワード付きZipファイルをメールに添付した際に警告、送信禁止にする機能があります。PPAPのルールはすでに廃止しているのに、従業員が以前の手順で誤ってパスワード付きZipファイルを送ってしまうといったミスを防ぐのに役立つでしょう。
オンラインストレージ利用とメール誤送信対策の
両立が重要!
外部とのファイル共有でPPAPからオンラインストレージへの移行を進める際、気になることの1つに間違ったファイルを共有してしまう人為的ミスが挙げられます。これはファイル共有前に強制的にファイル内容確認させることが出来ないため起こりがちなミスです。このようなオンラインストレージ利用時のファイル誤り防止に役立つのがCipherCraft/Mail 7の「リンクリマインド」機能です。
具体的には、メール本文からオンラインストレージでファイルを共有するためのリンクURLを抽出し、ファイルの送信が伴うメールであることをユーザーに対して注意喚起します。さらに注意喚起のメッセージをクリックすると送信ファイル内容を確認することが可能で、これによりファイル誤りの誤送信を防止します。
リンクリマインド機能 イメージ図
通常の添付ファイルと異なり、オンラインストレージのURLではファイル名すら分からないため、正しいファイルを送付しているかどうかの確認が困難です。しかしリンクリマインド機能を使えば、メールを送信する前にファイルの内容確認を強制する仕組み作りができるため、他社宛の見積書を誤って送信してしまったといったトラブルを避けられます。
なお、リンクリマインド機能はBoxやOneDrive、SharePoint、といったオンラインストレージサービスに対応しているほか、それ以外のサービスにも設定により対応が可能です。
このように、CipherCraft/Mail 7はオンラインストレージ利用時に起こりがちなメール誤送信も防ぐことができる多彩な機能を備えたソリューションです。PPAPからの脱却だけでなく、メール誤送信の防止まで視野に入れるのであれば、積極的に導入を検討してみてはいかがでしょうか。
※「CipherCraft」はNTTテクノクロス株式会社の登録商標です。
