こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
株式会社マクニカは11月9日、同社でこれまで採用していた、メール送信時に添付するファイルをZIP暗号化しパスワードを別送する方式(PPAP)を11月22日付で廃止すると発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】セキュリティのPPAPを廃止することについて発表されています。PPAPも含めて、時代の流れとともに変わっていったセキュリティ対策について説明します。
セキュリティ用語のPPAPとは、「パスワード付きzip暗号化ファイルを送ります」「パスワードを送ります」「暗号化」「プロトコル」の頭文字を取った、メールで添付ファイルを送信する日本固有の習慣です。今年に入って複数の組織から、PPAPを廃止する取り組みが発表されています。
今回、PPAPの廃止を発表した組織はその理由として、パスワード付き暗号化ZIPファイルを添付することでマルウェアなどのセキュリティリスクが高まることを挙げています。また、今後は添付ファイルをそのまま送信するが、受信するメールの取り扱いについては変更は無いということです。
添付ファイルをそのまま送信する場合、メールの配送中にセキュリティチェックができるメリットと、メールアカウントが乗っ取られた際に盗み見られるデメリットがあります。また、その他の対策としては、メール以外のコミュニケーションツールでファイルを共有することが挙げられます。
改めてPPAPの問題点ですが、今回の廃止理由としても挙げられている通り、メール配送中のセキュリティチェックをすり抜けてしまうことが挙げられます。それを逆手に取ったマルウェアが出現するなどしたため、PPAPを廃止する組織が増えてきました。また、メールで交換したZIPのパスワードが盗み見られる可能性も否定できず、かかる手間の割には得られるセキュリティのメリットが少ないことも挙げられます。
添付ファイルをそのまま送信すると、メールの配送中にセキュリティチェックができるメリットはありますが、メールアカウントが乗っ取られた際にメールボックスからファイルが盗み見られてしまう可能性があります。対策として、ストレージサービスを利用することで、メールアカウントの乗っ取りによる盗み見については防ぐことができます。なお、ストレージサービスやエンドポイントでセキュリティチェックがなされていることが前提となります。
その他の対策として、メールでファイル共有することは避け、その他のコミュニケーションツールを利用することが有効です。理由は、メールでのファイル共有はマルウェアによる「なりすまし」や「誤送信」などのリスクもありますが、認証済みのユーザによるコミュニケーションツールでファイルを共有する場合は、メールと比較すれば、なりすましや誤送信のリスクは下げられると考えられます。
昔は有効とされていたけど、今は無効とされているセキュリティ対策には、暗号化の歴史が当てはまります。時代の流れとともに変わっていった暗号化の歴史について簡単に説明します。
このように、過去には安全とされていた暗号化の仕組みも、現在では危険とされることは少なくありませんし、この先、TLS1.3も同様の歴史を歩むことも否定できません。また、コンピュータの処理能力と比例関係にある暗号化アルゴリズムに求められる強度も、年々上がってきています。暗号化以外でも、セキュリティ対策の当たり前を疑うことは、新しい脅威に立ち向かうためには重要です。セキュラジでも引き続き最新のセキュリティについてお届けできたらと思っています。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
