メールの添付ファイルを暗号化しても安全ではない?
クラウドストレージなど代替策を紹介
メールの添付ファイル暗号化は、セキュリティリスクが高いと問題視されています。
この記事では、メール添付ファイルの暗号化の代替手段を検討している人向けの内容を紹介します。
大容量ファイルや重要ファイルの送受信の方法を知り、今後のファイル共有の際に役立ててください。
目次
メール添付するファイルを暗号化すれば安全?
これまで多くの企業で取り入れられてきたファイルの共有方法は、添付ファイルを暗号化してメールで送り、パスワードを別送する「パスワード付きZipファイルを添付する」という手段でした。
しかし、最近ではメール添付の方法は、セキュリティ対策として効果がないという見方が増えています。2020年11月26日に内閣府と内閣官房が自動暗号化Zipファイルを廃止すると宣言したことに伴い、多くの民間企業でも廃止する流れが起きています。
※参考:内閣府|平井内閣府特命担当大臣記者会見要旨 令和2年11月24日
PPAPとは
パスワード付き暗号化Zipファイルを送信した後に別途パスワードを送るファイルの送信方法を「PPAP」と呼ぶことがあります。「P=パスワード付き暗号化ファイルを送付」「P=パスワードを送る」「A=暗号化する」「P=プロトコル」の頭文字をとったものです。
PPAPはITの専門用語ではなく、セキュリティ効果が高くないという皮肉を込めた日本での造語です。
メール添付ファイルの暗号化を廃止する企業の増加
ここ数年で、メール添付ファイルの暗号化を廃止している企業が増えています。暗号化ファイルの受信を廃止する企業や、開封を恐れるユーザも急増しています。主な理由は、セキュリティ面の脆弱さです。実際に、日本含め200か国以上で猛威をふるうマルウェア「Emotet」による攻撃があったという事例も報告されています。
プライバシーマーク制度においても、重要情報のメール添付ファイルの暗号化は推奨されていません。
メール添付ファイルの暗号化の問題点
メール添付ファイルの暗号化には、主に次の4つの問題点があります。
メールを盗聴されるリスクがある
暗号化されたメール添付ファイルを送信し、その後にパスワードを別で送信する方法は、情報漏洩のリスクがあります。暗号化されたファイルを添付したメールも、パスワードを記載したメールも、同じ通信経路で送信されているため、どちらもハッキング等で盗聴されてしまう可能性があるからです。
容易に盗聴される可能性があるため、重要ファイルのやりとりをする方法としては不十分でしょう。
ウイルスチェックができない
暗号化されたメール添付ファイルは、一般的なセキュリティソフトのウィルスチェックをすり抜けてしまう可能性があります。一般的なセキュリティソフトは、メール本文に書かれたURLや添付ファイルから危険を見つけ出す仕組みです。
セキュリティソフトの穴を逆手にとって、パスワード付きZipファイルを解凍した際に感染させるマルウェアが流行したほどです。最近では、メールにファイルを添付すること自体が避けられています。
フリーソフトで暗号解析が容易にできる
Zipファイルのパスワードは、誰でも使えるフリーソフトを使用して簡単に暗号解析ができてしまいます。早ければ数分で、解析されてしまうケースも。ファイルを暗号化してもパスワードが容易に解析されるようでは、盗聴以前の問題といえるでしょう。
ファイルの管理がしづらく非効率である
Zipファイルの暗号化は、セキュリティ面の問題があるだけでなく、受信側の効率や生産性を下げる要因にもなります。暗号化されたファイルは開くたびにパスワードが必要なため、ファイルごとのパスワードを探したり、管理したりする手間が、受信側に発生します。
スマートフォンなどモバイル端末での閲覧性はさらに低いです。パスワードの入力だけでなく、解凍専用のアプリが必要になる場合があります。
メール添付ファイルの暗号化の代替策
これまで暗号化してメール添付していたファイルは、次のような代替策で共有できます。
暗号化せずにメール添付で送信
そもそも暗号化にはセキュリティ上の安全が担保されていません。そのため、あえてファイルを暗号化せずに送信する方法があります。これは、そのまま添付することでパスワード漏洩のリスクを減らせるという考え方です。
ただし、メールを誤送信した場合のリスクがあります。重要な情報のファイルなどの共有には、積極的にはおすすめできない代替策です。
メール以外の経路でパスワードを送信
これまで通りZipを使う、もしくは別の方法で暗号化してファイルのやりとりを続ける場合は、パスワードを伝える手段を変える方法もあります。パスワードを伝える際に、チャットや電話、SMSなどメール添付以外のツールを利用します。
しかし、それらの方法は手間がかかり、効率的ではありません。さらに、Zip以外の方法で暗号化となると、送信側と受信側のOSの統一や、新たなツールや有料のソフトを使用するなど、やりとりがより複雑化してしまいます。
ビジネスチャットを利用
ビジネス用のチャットツールは、テキストのやりとりだけでなくデータの送付も可能です。容量が大きくないデータを、組織内で送受信するには手軽な代替策です。
一方で、アドレスを入力すれば容易にやりとりができるメールとは違い、ビジネスチャットは組織外の相手にアクセスしづらい点があります。また、ビジネスチャットのアプリケーションには最低限のセキュリティがありますが、ファイル自体を暗号化する方法ではありません。
クラウドストレージを利用
クラウド上でファイルを共有する方法には、リンク共有とストレージ共有があります。リンク共有は、ファイル送受信サービスとも呼ばれ、クラウドストレージに格納されているフォルダやファイルのURLにアクセスします。ストレージの共有は、複数名がアクセスできるストレージを持つことで、都度パスワードやリンクを共有することなく、ファイルのやりとりができます。
クラウドストレージにファイルを保管する方法は、受け渡し状況や差し替え履歴を確認でき、サーバにデータが残る心配もありません。
ただし、ストレージ共有は、誰に何を共有しているのかが分からなくなり、見せてはいけないファイルを共有してしまうリスクが存在します。また共有済みの古いデータをいつまでも共有してしまうリスクも存在します。これらを受けて、近年ではストレージ共有は、自社や組織に限定して利用を行う選択をする企業も増えて来ています。
今後は安全性の高いクラウドストレージが主流に
コロナ禍の影響でテレワークを実施する企業が増えている中、ファイル共有におけるセキュリティ対策が課題となっています。ファイルは重要度、機密度に関わらず、作成、共有、活用、保存、破棄までが1つの流れです。どのタイミングにおいても、安全面がポイントとなります。
クラウドストレージは、ファイルを送信する側、受信する側双方にとって効率的であり、セキュリティ対策も強化されています。ファイル共有の新たな手段として、その活用についての検討が求められています。
まとめ
多くの企業で安全面の観点から、ファイルの共有方法は、メールの添付ファイル暗号化からクラウドストレージの活用へと切り替わっています。パスワード漏洩のリスクやファイル管理の手間などをカットできるためです。
SECURE DELIVERは、ファイル転送に特化したシンプルな機能・操作のため、誰でも利用しやすいサービスです。送付先ユーザの取得状況をいつでも確認できるため、安心して利用できます。安全性の高いファイル送受信サービスをお探しでしたら、ぜひ一度ご検討ください。