情シスが抱えるITインフラやネットワーク、セキュリティの悩みを解決するメディアサイト情シスが抱える悩みを解決するメディアサイト

PPAP廃止のススメ〜 Microsoft 365 による安全なファイル共有〜

Microsoft 365
SharePoint
OneDrive
この記事でわかること

「暗号化ZIP」をメールに添付し送信、別メールでパスワード送信――実はこの方法、セキュリティ対策には役に立たず、それどころか危険性もあるのではないかとの政府の指摘が話題になりました。通称「PPAP」と呼ばれるこの方法をやめるべき理由と、Microsoft 365 による安全なファイル共有方法について本記事で取り上げます。

この記事の内容
暗号化ZIPはセキュリティ上無意味?攻撃者が利用しやすく、ユーザにとっては利便性を損ない兼ねない
Microsoft 365で考える安全なファイル共有のあり方
ケーススタディで見る Microsoft 365 の安全なファイル共有
まとめ

暗号化ZIPはセキュリティ上無意味?攻撃者が利用しやすく、ユーザにとっては利便性を損ない兼ねない

PPAPとは? 政府も2020年に廃止

「PPAP」とは、暗号化ZIPファイルをメールに添付して送信し、別メールでパスワードを送信する方法を指します。PPAPの語源は、「Password付きZIPファイルを送ります」「Passwordを送ります」「暗号化(Angouka)」「プロトコル(Protocol)」の頭文字から2016年に作られた言葉です。

このパスワード付きZIPのメール送信方法は、個人情報保護法が制定された2005年頃からメール添付ファイルを保護する手法として普及し、さまざまな企業や組織で利用されてきました。しかし2020年11月、内閣府および内閣官房にてパスワード付きZIPファイルによるメール送信を廃止する旨を発表※。それに追随して多くの企業で脱PPAPの動きが広がっています。
平井内閣府特命担当大臣記者会見要旨 令和2年11月24日

メールへの不正アクセス被害に対してほぼ無意味な作業であることが知られ、送受信者にとって手間がかかることから、昨今、一転して脱PPAPへと進んでいます。

PPAPのセキュリティ面での問題点

PPAPのセキュリティ面での主な問題点を整理します。

①メールのウィルス・マルウェア検知機能をすり抜ける
まず考えられるのが、暗号化されたZIPファイルにマルウェアが含まれていた場合、一般的なセキュリティソフトでは検出が困難になるリスクです。攻撃者がマルウェア自体を検出回避のために暗号化ZIPの形式で送りつける手口もあるため、PPAPを常用していると疑いなく解凍してしまうというリスクも高まります。
②そもそも同一宛先にパスワードを別メールを送付しているので、ファイルとパスワードの漏洩リスクが同じ。(ファイルを取得できる人はパスワードも取得できる)
ZIPファイルとパスワードを別送しても、基本的に同じメールアドレスかつ同一回線から送信されます。そのため、第三者が1通目のメールを窃取した場合、同じ通信経路から送信された2通目を同様に窃取するのは技術的に難しくありません。また、暗号化ZIPファイルにはパスワード入力回数制限がないため、総当たり攻撃ツールで復号されてしまうという危険性も考えなければなりません。

このように、PPAPは、ZIPファイルとパスワードを別々に送っても、サイバー攻撃に対するセキュリティを担保できるとは言い難いのが実情です。

Microsoft 365で考える安全なファイル共有のあり方

それでは、PPAPから脱却して安全かつ手間なくファイルをやり取りするためには、どのような方法を取ればよいのでしょうか。ここでは、Microsoft 365 のファイル共有を活用した安全なファイル共有について紹介します。

Microsoft 365 は最新の「Office 365」アプリやコラボレーションツールの「Microsoft Teams」、ファイル共有サービスの「Microsoft SharePoint Online」などを提供するクラウドサービスです。

近年では社内のコミュニケーションツールとしてチャットが普及し、Teams を利用する企業が増えています。Teams であれば、メンバーを限定した環境でファイルの共有ができますので、メールよりも手軽に安全なファイル共有が可能です。そもそもTeamsは、データ損失防止ソリューションの「Data Loss Prevention(DLP)」ポリシーを適用可能なので、セキュアな環境での社内コラボレーションが可能です。

また、SharePoint Online ではWordやXPSなどのファイルに対し、文書ファイルの暗号化や、閲覧・編集の権限管理、操作履歴管理などを可能にする「IRM(Information Rights Management)」での権限管理機能を標準で備えています。

特に、人事部門やシステム管理部門などの機密情報を取り扱う部門は、ファイル共有を強固なセキュリティ環境のもとで実行する必要があります。たとえば、IRM機能でアクセス権限を設定することで、機密情報の閲覧や編集は部門管理者のみできるといった管理が可能です。 Microsoft 365 のDLPポリシーやIRM機能によって、安全かつ確実に文書ファイルのやり取りができるようになります。

ケーススタディで見る Microsoft 365 の安全なファイル共有

次に、Microsoft 365 を活用したファイル管理方法を想定事例で見ていきましょう。

(1) 社外関係者にファイルを共有する場合
このケースでは、メールでファイルを添付する代わりに、共有用リンクを記載して社外関係者に送付します。共有用リンクを受け取った社外関係者は、リンクをクリックするだけで SharePoint または OneDrive 内のファイルにアクセスできます。また、ワンタイムパスワードによるアクセス制限をかけることで、万が一送信先を間違ってもアクセス権を取り消すことができ、セキュリティ面でも万全の対策が取れます。他にも、ファイルそのものをやり取りしないため、メールのファイル容量制限のある相手とも気軽にやり取りでき、メールボックス容量を削減できるといったメリットがあります。
(2)グループ内で文書を共同編集する場合
Teams 上で文書を共同編集する場合、文書はプロジェクトや組織別などに分けて SharePoint のライブラリに保管されています。完成したファイルを成果物ライブラリに保存することで、ファイル更新や持ち出しの履歴を残すことができるので、文書を長期的かつ安全に保管できます。社内の共有チャネルにリンクをコピーすれば、共有も容易に行えます。
(3)OneDriveを活用した安全なファイル共有
「OneDrive for Business」によるファイル共有には2つの方法があります。1つ目は、全てのユーザに対してファイルを共有する方式です。ファイルの共有リンクを知っていれば誰でもアクセスできるため、不特定多数のユーザとファイル共有が実現します。ファイルを共有するために、パスワードやリンクの有効期限を設定することができます。
2つ目は、特定のユーザを認証するファイル共有方式です。組織アカウントやMicrosoftのアカウントを認証したユーザにのみファイル共有を許可するため、より機密性の高い情報を共有する場合に使用されます。また、Microsoft 365 の組織アカウントが発行されていないメンバーに対しては、ワンタイムパスコードによる認証も可能です。一度限り有効なワンタイムパスコード認証を設けることで、より強固なセキュリティ環境のもとでファイルの共有ができます。

まとめ

企業にとって安全な情報共有は、重要な経営課題の1つであり、PPAPはセキュリティ面、運用面の両方から改めて見直す必要性が指摘されています。これからの時代は、Microsoft 365 をはじめとするクラウドサービスによるファイル共有がスタンダードとなるかもしれません。安全で確実なファイル共有方法を、本記事をヒントに検討してみてはいかがでしょうか。

関連キーワード