PR
新しいデジタルコミュニケーションツールが次々に登場する中でも、電子メールはビジネスに欠かせない。チームや組織内のコミュニケーションにはメッセージツールを使い、社外とのやりとりには電子メールを使うという企業は珍しくない。
しかし電子メールには、標的型攻撃やなりすまし、誤送信といったセキュリティ上の課題がある。それらの中でも重大事故になり得るのが「添付ファイルの誤送信」だ。例えば社内回覧用データの送信先に社外のメールアドレスが含まれていたり、本来送るべきだったデータと違うものを添付してしまったりといったケースがある。そのため、添付ファイルの内容と送り先は十分に注意することが求められている。しかしこうした問題を各従業員の努力だけで完全に封じるのは難しい。それらの事情を背景に、PPAP(メールの添付ファイルをZIP形式で暗号化し、その復号パスワードを別のメールで送る方法)が電子メールのセキュリティ対策として採用されてきた。
「脱PPAP」が叫ばれる中で「どうしてもやめられない」事情
PPAPは、送信者と受信者いずれにもメリットがある。まず添付ファイルが暗号化されているため、誤って送ってしまった場合でも、パスワードが分からなければ情報は閲覧されない。また、2通目のメールで届いたパスワードを利用するだけでファイルを確認でき、特別なソフトウェアを導入する必要がない。
PPAPは2000年代初頭に使われ始め、ファイルの圧縮と送信、暗号メールの送信を自動化するシステムが普及した。現在は多くの企業や官公庁で利用され、メールセキュリティのデファクトスタンダードになっている。しかし、メールセキュリティ製品のサポートを担当するキヤノンITソリューションズの石川文也氏(サイバーセキュリティ技術開発本部 技術部 技術支援課)によれば、以前からPPAPの効果を疑問視する声はあったのだという。
キヤノンITソリューションズ 石川文也氏「まず、たとえ暗号化されていても、誤って送信したファイルそのものの回収や破棄は困難です。また、PPAPを自動化するシステムを導入している場合は、一度の送信作業でファイルとパスワードが同じ送信先に届いてしまうため、誤送信対策になりません。同様に、一度の送信作業で同じ経路を使ってファイルとパスワードが送られるため、攻撃者は容易に全ての情報を盗めてしまいます。さらに、ファイルを暗号化すると元のデータにマルウェアが仕込まれていても検知できなくなることがあるため、攻撃者に悪用されることもあります」(石川氏)
多くの課題がある中で「それでも完全な無策よりはメリットがある」とされ、PPAPの利用は続いた。自動化によってセキュリティ強度が落ちても「メールでファイルを送信する」という作業がビジネスの現場に適していたためだ。
そのような状況が続く中で、2020年11月に平井卓也デジタル改革担当相が「中央省庁におけるPPAPの利用を廃止する」と表明した。この発言をきっかけに、民間企業でもPPAPを見直す動きが活発化している。
キヤノンマーケティングジャパン 山崎 歩氏しかし政府はPPAPの代替案を具体的に示していないため、戸惑う企業も多いという。メールセキュリティ製品の開発と販売を担当するキヤノンマーケティングジャパンの山崎 歩氏(セキュリティソリューション企画本部 セキュリティソリューション商品企画部 セキュリティソリューション商品企画第二課 チーフ)は「大企業ほど、従来の仕組みを変えるのは難しいようです。経営層が政府の意向に沿いたいと考えても、現場の業務が混乱してはいけません。IT部門は板挟みの状況になっています」と企業の実態を語る。
使いやすくセキュリティが高い「PPAPの代替手段」とは
PPAPの代替には、大きく分けて3つの手段がある。「クラウドストレージの利用」「ファイル交換サービスの利用」「添付ファイルのダウンロードリンク化」だ。
クラウドストレージを利用する方法は、企業が使用するクラウドサービスの一部領域を外部取引先に対して公開する。手間なく大容量のファイルを共有できるというメリットがある一方で、公開権限を設定する手間が発生したり、設定のミスによって情報漏えいが起きやすくなったりするといった問題が懸念される。
ファイル交換サービスを利用する方法は、ファイルを送信したいユーザーがファイルをクラウドストレージにアップロードしてダウンロード用のリンクをメールなどで送信する。受信側は受け取ったリンク先でファイルをダウンロードできる。クラウドストレージを利用するため大容量ファイルのやりとりが可能になるがメール誤送信のリスクは残る。
添付ファイルのダウンロードリンク化は、PPAPと前述の方式の長所を組み合わせたものだ。送信者がメールにファイルを添付して送信操作をすると、システムが自動で添付ファイルを分離してダウンロードサーバにアップロードし、メールには自動生成したダウンロードリンクを記載して送信する。受信者は受け取ったリンクからファイルをダウンロードする。
メールのセキュリティを総合的に高める方法
キヤノンマーケティングジャパンは同社が開発提供する情報漏えい対策製品群「GUARDIANWALL(ガーディアンウォール)」に、添付ファイルのダウンロードリンク化機能を取り入れている。その理由を石川氏は以下のように述べる。
「従来の業務の中で回していたオペレーションが変わりすぎるとユーザーへの負担が大きく、業務の生産性低下やセキュリティの事故が起きやすくなります。現場に『メールを送る』以上の負担をかけず、利便性と安全性を両立できる方法として添付ファイルのダウンロードリンク化が最適だと判断しました」(石川氏)
GUARDIANWALLシリーズは、メールを保護する「GUARDIANWALL Mailセキュリティ」と、Webからの情報漏えいを防ぐ「GUARDIANWALL Webセキュリティ」の2種類の製品群からなる。その中でもメールフィルタリング製品「GUARDIANWALL MailFilter」やメールアーカイブ製品「GUARDIANWALL MailArchive」は、キヤノンマーケティングジャパンが研究開発してきた日本語の言語処理技術が生かされているという。
「例えば、メールの件名や本文、添付ファイル内に特定のキーワードなどが含まれる重要なメールだけ上長承認を通すようにしたり、メールに記載された情報に個人情報が含まれていないかどうかを判定したりできます。また、昨今の意識の高まりを受けて、ハラスメントに関する文字列を抽出してレポーティングする機能も追加しました。いずれも、海外製品では難しい『2バイト文字に対する言語処理』に対する強みを生かした機能です」(石川氏)
2021年8月から、添付ファイルのダウンロードリンク化機能を備えたクラウド製品「MailConvert on Cloud プレミアム」(MailConvert)と、「Microsoft 365」を利用、または移行を検討中の企業に向けた製品「Outbound Security for Microsoft 365」が順次追加される。MailConvertは、既存のサービスの追加機能として添付ファイルのダウンロードリンク化に対応する。
MailConvertは、メール送信時に添付ファイルを自動で分離してダウンロードサーバに転送し、送信先(受信者)にはダウンロードリンクが書かれたメールを送る。受信者はダウンロードリンクにアクセスして「ワンタイムパスワードの発行」か「ソーシャルログイン」を選択し、認証した後に添付ファイルをダウンロードできるようになる。
送信者側での添付ファイルのダウンロードリンク化機能利用イメージ(出典:キヤノンマーケティングジャパン提供資料)ソーシャルログインとは、受信者が持つMicrosoftやGoogleのアカウント情報を使ってメールアドレスと本人確認をする機能だ。「先に述べたように、PPAPにおけるパスワードは、取り扱いに手間がかかる割にリスクの残るものでした。ソーシャルログインを利用すれば、パスワードに関するやり取りが全て不要になります」(石川氏)
ダウンロードサーバにアップロードされた添付ファイルには、デフォルトで「非公開」設定を適用できる。送信者がGUARDIANWALLの管理画面で「公開設定」をすれば、受信者はファイルの閲覧が可能になる。誤送信があった場合は、公開設定をしなければファイルは閲覧されない。2021年内に、機能を限定してより管理負担を低減する「MailConvert on Cloud ベーシック」を発売する予定だ。
Outbound Security for Microsoft 365は、Outlookのアドインとして添付ファイルダウンロードリンク化機能を簡単に利用できる。企業規模や予算、システム構成に合わせたPPAP対策を導入できるようになる。メール送信時のセルフチェック機能も搭載し、件名やTo、Cc、Bccの宛先などをポップアップウィンドウでチェックできるので、より安全にメールを送れる。
Outbound Security for Microsoft 365は、Outlookのアドインとして簡単に導入できる(出典:キヤノンマーケティングジャパン提供資料)これらの機能で「脱PPAP」が可能になるが、企業によってはWebダウンロードが許されていない場合もある。GUARDIANWALLでは、そうした企業宛てにメールを送る際は従来通りZIP暗号化ファイルを添付する方法も利用できる。「受け手に応じた柔軟な設定ができる点もGUARDIANWALLの特徴です」(山崎氏)
脱PPAPの際には、できる限り社内外の混乱を抑えたい。GUARDIANWALLシリーズは最適解の一つと言える。現場の混乱はセキュリティの脆弱(ぜいじゃく)性になり得るためだ。
「運用を大きく変えたり複雑にしてしまったりすると、利用者は不便さから抜け道を探してしまいます。それがセキュリティの穴になる場合もあるため、GUARDIANWALLシリーズは手軽さと安全性を両立させた移行ができるよう考慮しています」(山崎氏)
PPAPに代表される国内特有の課題にも迅速に対応できる点も、純国産製品の強みだ。今後もキヤノンマーケティングジャパンは利用者や管理者の使いやすさを重視してコミュニケーションツールの多様化に対応した機能の強化や、他のクラウドストレージとの連携を強化する計画を進める。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.