メールは便利なコミュニケーションツールである一方、誤送信などによる情報漏えいのリスクを抱えています。
このメールによる情報漏えいを防ぐために、日本で広まったのがパスワード付きZipファイルを使って暗号化する「PPAP」と呼ばれる手法ですが、昨今では脱PPAPの動きが広まりつつあります。
ここでは、パスワード付きZipファイルを使わずに安全に社内外の人にファイルを送付する方法や、メール誤送信問題を解決できるソリューションを解説していきます。

日本で広まった「PPAP」に潜む課題

電話や郵便、FAX、さらにテレワークではWeb会議など、ビジネスの現場ではさまざまなコミュニケーションツールが使われていますが、その中でも利用する機会が多いのはメールではないでしょうか。

一般社団法人日本ビジネスメール協会が発表した「ビジネスメール実態調査2021」によれば、アンケートに回答した人の98.9％が「仕事で使っている主なコミュニケーション手段」としてメールを挙げています。さらに1日に送信するメールの数は平均で13.63通、受信するメールは51.1通となっており、メールを使ってさまざまなやり取りが行われている様子が見て取れます。

出典：一般社団法人日本ビジネスメール協会「ビジネスメール実態調査【2021】」

このようにビジネスにおけるコミュニケーションツールとして広く利用されているメールですが、一方で情報漏えいなどにつながるリスクがあることも事実です。具体的には、意図しない人に対してメールを送ってしまう誤送信や、通信経路上での盗聴（盗み見）があります。

こうしたメールのリスクを回避するために、特に日本で広まったのが「PPAP」と呼ばれる手法です。これは「パスワード付きZipファイルを送ります／パスワードを送ります／An号化（暗号化）プロトコル」を略した言葉であり、パスワード付きZipファイルをメールに添付して送信することを指しています。

PPAPを装って組織内に侵入するマルウェアも！

パスワード付きZipファイルにすることで、仮に通信経路上で盗聴されたとしてもファイルの内容を第三者が見ることは不可能となり、また誤送信した場合でもその後でパスワードを送らなければ、受け取った相手が添付ファイルを見てしまうことを防げると考えられることから、メールによる情報漏えい対策としてPPAPは普及しました。前述したビジネスメール実態調査2021においても、40％以上の人がPPAP方式でファイルを送ることが「よくある」、「たまにある」と回答しています。

出典：一般社団法人日本ビジネスメール協会「ビジネスメール実態調査【2021】」

ただ、PPAPではメールによる情報漏えいのリスクを十分に軽減することはできません。まず問題として指摘されているのは、添付ファイルとパスワードの両方をメールで送信する点です。このため、メールさえ盗聴できれば添付ファイルとパスワードの両方を手に入れられることになり、ファイルの内容を盗み見ることができてしまいます。さらにパスワードを送信する際、新規メールで改めて宛先を入力するのではなく、送信したメールに対する返信でパスワードを通知する人が少なくありません。これでは、パスワードも誤送信した相手に届いてしまいます。

PPAPが逆にセキュリティ上の脅威となっている事実もあります。現在多くの企業では、メールの添付ファイルにマルウェアが含まれていないかをチェックする、ウイルス対策ソリューションを利用しています。しかしパスワード付きZipファイルで暗号化すると、こうしたソリューションでファイルをチェックすることができません。実際、PPAPを装ってウイルスチェックをすり抜け、組織内に侵入するマルウェアも現れています。

このようにPPAPには問題があることから、平井卓也デジタル改革担当相は2020年11月の会見で、中央省庁においてPPAPを廃止する方針を明らかにしました。今後この動きが民間企業にも広まる可能性が高いため、PPAPからの脱却を早急に検討する必要があります。

安全なファイル共有を可能にするオンラインストレージ

外部の人に安全にファイルを送る、PPAPに代わるソリューションの1つとして挙げられるのが「オンラインストレージ」です。これはファイルを保存するためのストレージスペースを提供するクラウドサービスであり、その多くが第三者とファイルを共有するための仕組みを備えています。

オンラインストレージでは、Webブラウザーや専用アプリを使ってファイルのアップロードやダウンロードを行います。その際、通信内容をTLS（Transport Layer Security）と呼ばれるプロトコルで暗号化することにより、通信経路上での盗聴の不安を解消しています。

大容量のファイルを社外のユーザーと簡単に共有できることも、オンラインストレージを利用する大きなメリットです。メールの場合、添付できるファイルの容量を数MB～数十MBで制限していることが一般的で、大きなファイルはそのままでは送ることができません。

しかしオンラインストレージであれば、サービスによっても異なりますが数百MB～数十GBのファイルを保存することが可能であるため、容量制限を気にせずに大きなファイルを社外の人と共有することができます。

こうしたオンラインストレージの1つが「Box」です。10万社以上の企業に採用されている、ビジネス利用に最適なオンラインストレージであり、社内外のユーザーとファイルを共有するために利用できるのはもちろん、プランによってはストレージ容量が無制限のため、ファイルサーバーの代わりに利用するといったことも可能です。

このBoxでのファイル共有は、特定のユーザーを招待する方法と、URLを共有する方法があります。ユーザーを招待すると、その人にファイルが共有されたことを知らせるメールが届き、そのメール内にあるリンクをクリックするとファイルにアクセスすることができます。

URLでファイルを共有する場合、まず共有するファイルにアクセスするためのURLを発行し、メールなどで共有相手に送信します。そのURLにWebブラウザーでアクセスすると、ファイルを閲覧、ダウンロードできるページが表示されるという流れです。

このURLを用いたファイル共有において、Boxではファイルにアクセスできるユーザーを制限することが可能です。具体的には、社内のユーザーのみ、あるいはあらかじめ共有フォルダーに招待したユーザーのみがダウンロードできるように制限することができます。この仕組みを利用すれば、仮にメールでURLを送信し、そのURLが意図しない第三者に盗み見られたとしても、Boxでのファイルの閲覧やダウンロードを防げます。さらにURLでファイルを共有する際には、パスワードや有効期限を設定できるほか、閲覧のみを許可し、ダウンロードは制限するといったことも可能です。

Boxには、ファイルへのアクセス状況や操作の内容などをログとして出力する機能もあります。これによってユーザーの詳細な利用状況を把握し、Boxが適切に使われているか、不審なアクセスがないかといったことを確認できるのは、ガバナンスの観点からも有効でしょう。

なおNTT Comでは、Boxをセキュアなクローズドネットワーク経由で利用できる「Box over VPN」を提供しています。VPNを使ってBoxにアクセスするため、安全にファイルのアップロード／ダウンロードが可能であり、さらにNTT Comが24時間365日の一元保守を行うため、安心して利用できることも大きなメリットです。

AIによるリスク判定もサポートするメール誤送信対策ソリューション

メールによる情報漏えいで、圧倒的に多いのはメールの誤送信です。この誤送信には、メールの宛先の間違いのほか、Bccで送るべき内容をToやCcで送ってしまう、機密情報をメーリングリストに投稿する、あるいは間違ったファイルを添付して送信してしまうといったパターンがあります。

こうしたミスを防ぐための対策として、まず考えられるのは確認の徹底でしょう。宛先として入力したメールアドレスに間違いはないか、ToとCc、Bccを正しく使い分けているか、正しいファイルを添付しているかといったことを、メール送信前にしっかりチェックします。メールアドレスを自動で補完するオートコンプリート機能の無効化など、設定の見直しも考えられるでしょう。ただ、これらを行ったとしてもメール誤送信を完全に防ぐことは困難です。そこで検討したいのが、「CipherCraft/Mail 7」の活用です。

CipherCraft/Mail 7はメール誤送信の防止に特化したNTTテクノクロス株式会社のソリューションであり、2,200社超の企業で導入されています。

メール誤送信を防ぐための具体的な機能として、まず挙げられるのは送信前のメール誤送信防止画面のポップアップ表示です。この画面では、送信先アドレスや本文、添付ファイルの確認を促します。

ToやCcに入力された宛先が一定数を超えた場合、強制的にBccに変換する宛先漏えい防止機能もあります。多くの顧客に同じ内容のメールを送信するといったとき、本来Bccに入力すべきメールアドレスをToやCcに入力し、メールアドレスが漏えいしてしまうといった事件は少なくありません。この機能を利用すれば、そうしたトラブルを回避することが可能です。

送信するメールのリスクをAIで自動的に判定し、誤送信のリスクが高いと判断した場合に強いアクションで注意を喚起するオプションである「AI＋」も提供されています。この機能を利用すれば、初回送信時の入力ミスや似ているメールアドレスの確認ミス、あるいはオートコンプリート機能などによって起こりがちな同姓別人アドレスの混入などをAIが検知すると、ユーザーに対して強い警告を行います。

またPPAPを廃止する際に役立つものとして、パスワード付きZipファイルをメールに添付した際に警告したり送信禁止にする機能があります。PPAPのルールはすでに廃止しているのに、従業員が以前の手順で誤ってパスワード付きZipファイルを送ってしまうといったミスを防ぐのに役立つでしょう。

オンラインストレージ利用とメール誤送信対策の両立が重要！

外部とのファイル共有でPPAPからオンラインストレージへの移行を進める際、気になることの1つに間違ったファイルを共有してしまう人為的ミスが挙げられます。これはファイル共有前に強制的にファイル内容確認させることが出来ないため起こりがちなミスです。このようなオンラインストレージ利用時のファイル誤り防止に役立つのがCipherCraft/Mail 7の「リンクリマインド」機能です。

具体的には、メール本文からオンラインストレージでファイルを共有するためのリンクURLを抽出し、ファイルの送信が伴うメールであることをユーザーに対して注意喚起します。さらに注意喚起のメッセージをクリックすると送信ファイル内容を確認することが可能で、これによりファイル誤りの誤送信を防止します。

通常の添付ファイルと異なり、オンラインストレージのURLではファイル名すら分からないため、正しいファイルを送付しているかどうかの確認が困難です。しかしリンクリマインド機能を使えば、メールを送信する前にファイルの内容確認を強制する仕組み作りができるため、他社宛の見積書を誤って送信してしまった、などといったトラブルを避けられます。

なお、リンクリマインド機能はBoxやOneDrive、SharePoint、といったオンラインストレージサービスに対応しているほか、それ以外のサービスにも設定により対応することが可能です。

このように、CipherCraft/Mail 7はオンラインストレージ利用時に起こりがちなメール誤送信も防ぐことができる多彩な機能を備えたソリューションです。PPAPからの脱却だけでなく、メール誤送信の防止まで視野に入れるのであれば、積極的に導入を検討してみてはいかがでしょうか。

※ 「CipherCraft」はNTTテクノクロス株式会社の登録商標です。