パスワード付きzipファイルは
セキュリティ対策の“効果なし”

ソフトウェア事業本部
ソフトウェアビジネス二部
セキュリティコンサルタント
土屋 亨 氏
2020年11月、日本政府は今後中央省庁での「PPAPを廃止する」と発表した。発表したのはデジタル改革担当大臣の平井卓也氏。理由は「セキュリティ対策や受け取り側の利便性の観点から適切ではない」とされた。
別メールでパスワードを受け取り、それを使って暗号化された添付ファイルを解凍するPPAPは確かに手間がかかる。しかし、メールソフトさえあれば簡単にセキュリティを確保してファイル送信ができると考えていたからこそ、どの企業もこぞって採用してきたのではないのだろうか。実はそこに大きな誤解があった。
そもそもPPAPは先進技術やソリューションの名称ではなく、IT業界で使われる英語の略称ですらない。PPAPとは「P=パスワードを付けたzipファイルを送り、P=パスワードを送る、A=暗号化するための、P=プロトコル」という一連の手順の非合理性を揶揄したものだ。
プライバシーマーク取得で暗号化が求められたところから広まったともされるPPAPに対しては、多くの専門家が有効性を否定してきた。NRIグループの情報セキュリティ専門企業、NRIセキュアテクノロジーズの土屋 亨 氏は「PPAPはパスワードを別送する前に宛先誤りに気づけば、誤送信を防止できる利点があると言われていますが、ファイルが外部に出た時点で情報は漏えいしているのです」と指摘する。
zipファイルのパスワードを総当たりで試すツールは簡単に手に入る。まして、メールに添付されているファイルを盗めるのであれば、同じ経路で送られてくるパスワードも盗めることになる。また、ファイルが暗号化されることで、ウイルスチェックを逃れる危険性もあるため、これでは受信者に解凍するための手間を強いるだけでメリットはほぼ無いと言える。
こうしたデメリットが多くあるなかでなぜPPAPが使われてきたのか。土屋氏は「何にでもハンコを押せばそれで良しとしてしまう“ハンコ文化”と同じで、セキュリティ対策をしている感覚を得ることが目的になっていたのではないでしょうか」と語る。
PPAPに代わる対策として
自社業務に合ったセキュリティを
PPAP神話が崩壊した今でも、ファイル送信に対するセキュリティ対策が必要なことに変わりはない。「本質的な解決にならないPPAPを使い続けることはその企業の評価を落とすことに繋がります。同時に自社業務に合ったセキュリティ対策も求められています」と土屋氏は話す。
PPAPに代わる対策としては大きく2つのアプローチがある。クラウドサービスの利用でメールへのファイル添付を廃止し、ブラウザーを使ってファイルを送信する「ブラウザーファースト」と、メールへのzipファイル添付は廃止するものの、使い慣れたメールソフトの利用を維持する「メーラーファースト」だ。
ブラウザーファーストには主に「ファイル転送」と「ファイル共有」の2つの選択肢があり、メーラーファーストには「共有リンク添付」「メール暗号化」「添付ファイル暗号化」のいくつかの選択肢がある。先述した日本政府の場合は、民間のストレージサービスで作成した共有リンクを活用するようだ。
これらの選択肢には一長一短があり、その特徴からどれが自社の業務や利用目的に適合するかを検討する必要がある。
土屋氏は「パスワード付きzipファイルを隠れみのにしてセキュリティチェックを逃れてマルウェアを送付するEmotet(エモテット)やIcedIDと呼ばれる攻撃方法も確認されています。受信者の立場からも、PPAP以外の方法で受け取れる手段が必要とされています」と語る。
本質的な解決を提供する
セキュアな「クリプト便」
PPAPの代替対策が求められるなかで、セキュリティを重視する企業から注目されているのが、NRIセキュアテクノロジーズが提供する「クリプト便」である。社外と安全にファイルを転送/共有するために開発されたソリューションで、2001年6月から提供されている。
クリプト便は同社のサーバーを経由してファイル交換を行うサービスで、通信の暗号化とファイルの暗号化や送受信時の自動でのウイルスチェック、上長承認機能による誤送信対策など、堅牢なセキュリティ対策が施され、IDやパスワードの管理や使用者を限定した送受信など徹底したアクセス制御が可能になっている。
機能としては「ファイル送信」と「ファイル共有」の両方に対応しているが、ファイル送信ではメールライクに操作ができる。画面には送信先、件名、本文、ファイル添付など、通常のメールと同様の項目が用意されている。ドラッグ&ドロップでのファイル添付やパスワードの設定など、送信側の操作はすべて1つの画面で完結されている。
通常のメール送信との大きな違いは、グループという概念でファイルの送信先を制御していることだ。「オープングループ」ではメールアドレスを自由に指定して送信するが、「クローズドグループ」では予め登録されている送信先から選択して送信する。
「オープングループの使用をできなくしたり、ファイルのダウンロード時にIDとパスワードによる認証を求めたりすることも可能です。送信ファイルの機密度によってセキュリティレベルを設定できるのが特徴で、セキュリティへの意識の高い企業に支持されています」(土屋氏)。
もともとは証券会社向けに製品が開発された経緯から、クリプト便ではセキュリティを重視する金融系企業の使用が過半数を占める。ただし、セキュリティ対策意識の高まりを受け現在では情報・通信、行政・公共団体など様々な業種にも採用されており、今では7年連続で国内シェアNo.1(※)となっている。たとえば全国で公共インフラ事業を展開する大手企業グループのIT専門会社では、顧客からよりセキュアなファイル送信を求められ、5000を超えるアカウントのファイル転送サービスをクリプト便に移行した。クラウドによってコストを抑えながら、堅牢なメールセキュリティを実現している。
「長期間利用するセキュリティ製品だけに、どのような背景や使命を持って開発されたソリューションなのかは重要な選定ポイントです。購入後も機能アップデートを繰り返すクラウドサービスは、開発された背景や使命によって投資開発の方向性や優先順位に違いが表れてきます」と土屋氏は指摘する。
クリプト便は、金融業界のセキュリティニーズに応える形で機能を強化してきた。それは今後も変わらない。セキュリティ対策には継続性が求められるだけに、中長期的な視点から検討することをお勧めしたい。
※出典:ITR「ITR Market View:コラボレーション市場2020」 ユーザー間ファイル転送市場ベンダー別売上金額シェア(2013~2019年度)

NRIセキュアテクノロジーズ株式会社
ソフトウェア事業本部
ソフトウェアビジネス二部
セキュリティコンサルタント
土屋 亨 氏
1983年生まれ。セキュリティコンサルタント。2009年に野村総合研究所に入社後、OpenID、OAuthに準拠したCIAM(顧客ID&アクセス管理)ソリューション「Uni-ID」に所属。大手マスメディア、通信事業社を主な顧客とし、乱立するグループ内IDとサービスの連携統合プロジェクトでプリセールス兼導入を担当。ID統合には変化への痛み(業務負荷やコスト)も伴い、単に利便性やセキュリティだけでは通用しない、事業価値にシビアな世界で奮闘。2014年にNRIセキュアテクノロジーズに出向。2017年から「Box(Box, Inc)」「FinalCode(デジタルアーツ株式会社)」の事業責任者。ID統合の経験を活かし、ビジネスのデジタル化を目指す企業が、Boxを使用した社内変革で手にする新しい働き方と事業価値を、確かなセキュリティ設計で下支えするグランドデザインを描く。直近では数千名規模のBox全社導入を手掛ける。