デジタルアーツ

危険な「PPAP」に代替策を提案
ファイルを追跡し、継続的に守る方法とは

様々なビジネスの現場で、パスワード付きZIPファイルとパスワードを別メールで送付する「PPAP」が広く一般化している。ところが、この方法には利便性や安全性を低下させる要因が潜んでいる。PPAPに替わる、安全かつ効率的なファイル授受の仕組みを検討することが企業にとって急務といえるだろう。デジタルアーツは、独自のソリューションを活用した手法によって、ファイル/メールセキュリティの強化を支援している。

PPAPで送付しても、第三者に転送されるリスクは残る

デジタルアーツ株式会社 マーケティング部 プロダクトマネジメント担当 保屋松 彩佳氏
デジタルアーツ株式会社
マーケティング部
プロダクトマネジメント担当
保屋松 彩佳
 ファイル暗号化の手法である「PPAP」。誰でも簡単に行えるファイル授受の手法として、ビジネスシーンに広く普及している。

 ところが近年、このPPAPは多くのセキュリティ上の脆弱性を抱えていることが指摘されている。例えばメールの通信経路を“盗み見”された場合、パスワード付きZIPファイルとパスワードの両方を入手されてしまうため無意味になる。また、パスワード付きZIPファイル内に仕込まれたマルウエアは、容易に検知・ブロックできなくなる。つまり、PPAPがマルウエアにとっての“隠れ蓑”にもなるといったことがその例だ。

 「さらに、メールを誤送信した場合は受信者に削除を依頼する必要がありますが、本当に削除されたかを確認することは困難です。あるいは、せっかくPPAPで送付しても、受信した人が解凍後のファイルを別の人に転送してしまうリスクは残ります。結果、手の届かないところから自社の情報が漏えいする可能性があるのです」とデジタルアーツの保屋松 彩佳氏は警鐘を鳴らす。

 それでは、どんな代替策があるのだろうか。有効な方法の1つはオンラインストレージを活用することである。ファイルそのものは直接送付せず、オンラインストレージ上に置いて共有をかける。ファイル自体は自社で管理できるため、例えば相手がダウンロードする前であればファイルを削除することでキャンセルもできる。情報漏えいのポイントを減らせることはメリットといえるだろう。

ファイルの利用状況を追跡し、あとから消すことも可能

 ただ、それだけではまだ不十分だ。オンラインストレージからダウンロードされたあとのファイルは、受信者の端末に暗号化されないまま保存される。そのファイルが第三者に転送されることは防げず、実際にはPPAPと似たようなリスクが残ってしまうからだ。

 そこでデジタルアーツは、この点をクリアするファイル授受の仕組みとして、「FinalCode」と「m-FILTER」というソリューションを組み合わせる方式を提案している。「これにより、オンラインストレージより安全な、新たなファイル授受を実現できます」と保屋松氏は語る。

 まずFinalCodeは、ファイルの暗号化や追跡を可能にするIRM(Information Rights Management)ソフトウエア。その特長は大きく次の3つだ。  1つ目は「守る」。PPAPと異なり、FinalCodeはパスワードレスで暗号化を行う。具体的には、ファイル開封可能な閲覧者を事前に指定した上で暗号化するのである。これにより、受信後のファイルが誰かに転送されても、その人物は中身を見ることはできない。「閲覧できる期間や回数の指定、端末への保存やコピー&ペースト、印刷、編集の可否などの細かい権限も設定可能です。既存のPPAPよりも強固にファイルを守ることができます」と保屋松氏は解説する。

 2つ目は「追跡する」。共有済みのファイルにアクセスしたユーザーのメールアドレスやIPアドレスおよび「どんな操作が行われたのか」の情報をリアルタイムで収集。閲覧を許可されていないユーザーのアクセスなどをリアルタイムに確認できるため、情報漏えいが疑われる場合はすぐに検知できるという。

 そして3つ目が「あとから消せる」。急遽、ファイル共有を取りやめる必要性が生じた場合や、誤送付してしまった場合に閲覧権限をはく奪したり、ファイルそのものを遠隔から削除したりできる。「ファイルを共有したあとも、継続的にコントロールできます。この点が一般的なオンラインストレージにはない独自の強みといえるでしょう」(保屋松氏)。

 なおFinalCodeでは3種類の暗号化ファイル形式を提供している。まず、ファイルをあとから消すといった強力なIRM制御を行えるのが「FCLファイル」。ファイル作成と同時に暗号化するため、ITに詳しくないユーザーがいる企業でも高い安全性を実現できるのが「透過暗号ファイル」だ。これらは専用クライアントソフトを使って管理する。一方、専用クライアントなしで利用できるのが「ブラウザービューファイル」である。これらを使い分けることで、目的に合った運用が可能になるだろう。

ホワイトDBに基づき、安全が確認されたメールのみを受信

 もう1つのm-FILTERは、FinalCodeと連携することで添付ファイルを自動で暗号化するメールセキュリティソリューションだ。「ファイルごとに権限設定を行ってからメールに添付して送るのは少し手間がかかります。その点、m-FILTERを併用すれば、メールにファイルを添付して送信するだけで、FinalCodeによる高度なファイル暗号化が実現できます」と保屋松氏は紹介する(図2)。  また、m-FILTERを利用すれば、ファイルが添付されたメールを受信する際の対策も強化できる。PPAPでファイルが送られてくるケースは今後もしばらく発生するだろう。先に紹介した通り、それらのメールにはマルウエアが仕込まれている可能性もある。

 「当社は、安全な送信元のIPアドレスやメールドメインを大量に蓄積した『ホワイトDB』を有しています。m-FILTERは、ここに登録された送信元からのメールのみを受信する仕組みとしています」と保屋松氏。ホワイトDB未登録の送信元からのメールは、いったんm-FILTERサーバーに隔離され、偽装判定が行われる。そこで安全が確認できた場合のみ受信するという。

 「これまで社外とのファイル授受の主流だったPPAPは、非常にリスクが大きいため早期に廃止すべきです。FinalCodeによる強固な暗号化、m-FILTERとの連携による送信の効率化や受信時の対策強化などによって、PPAPの代替策を探すお客様のお手伝いができれば幸いです」と保屋松氏は話す。最適なファイル/メールセキュリティを考える上で、デジタルアーツの提案は重要なヒントになるだろう。
TOPへ
関連リンク
お問い合わせ
デジタルアーツ株式会社 URL:https://www.daj.jp/bs/inquiry/
E-mail:salesmktg-dc@daj.co.jp