キヤノンMJ/サイバーセキュリティ情報局
DXが進んでもなくならない「ZIPのパスワードは別送します」、メールコミュニケーションの対策はどうすればいいのか
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「脱PPAP?DX?激動の時代におけるメール対策の最適解とは?」を再編集したものです。
FAXが未だに健在なように、DX (デジタルトランスフォーメーション)が推進しても当面はメールでのコミュニケーションが維持されるのは想像に難くない。しかし、この期に及んで多額のコストを投じて対策を講じるのも現実的ではないだろう。まさに過渡期とも言える現時点で、どのような解決法が考えられるのか。キヤノンITソリューションズ株式会社の永井 日菜が解説する。
コロナ禍以前から進むクラウドへのシフト
コロナ禍以前から変化の兆しを見せていた、企業における従業員の働き方。いわゆる「働き方改革」の旗印のもと、フレキシブルな勤務体系、就業場所の多様化などが試行錯誤されていたことは記憶に新しい。各企業の温度感により、対応状況はまちまちながらも、まずはスモールスタートで限定的に導入していくという実験的な動きが多くの企業で見られた。
しかし、新型コロナウイルス感染症の拡大を受け、2020年4月に発出された緊急事態宣言により事態は一変。日本国内の多くの企業が、半ば強制的にリモートワークを余儀なくされた。それまでに一定の検証を終えていた企業はスムーズにリモートワークへ移行できたものの、先送りし続けた企業にとっては、まさに「激震が走った」と言えるだろう。
こうしたコロナ禍前後での大きな環境変化を裏づけるように、クラウドサービスの業務利用が年々増加していることが総務省による情報通信白書の調査からも見てとれる。図1のように、2016年に「全体で利用」と「一部で利用」を併せておよそ27%だったクラウドサービスの利用状況が、2020年にはおよそ69%へと大きく伸長しているのだ。
いわゆるクラウドシフトとも呼ばれるこうした潮流において、メールやカレンダーなどのグループウェア機能をはじめ、統合型オフィスソフトも包含したMicrosoft 365を利用する企業が多いようだ。実際、当社がウェビナー参加者に対して行なったアンケートでは、4割超がMicrosoft 365を利用しているとの回答を得られている。このようなドラスティックな変化は、結果的にサイバーセキュリティのリスクを悪化させる要因のひとつともなり得る。内部からの情報漏えい、外部からの標的型攻撃など、考えられる脅威は挙げたらキリがない。
・メール関連の外部脅威
BEC(ビジネスメール詐欺)や標的型サイバー攻撃の手段としてメールが利用され、セキュリティ上の脅威となっていることは周知の事実だろう。昨今、従来の仕組みのアンチスパム・アンチウイルスではこうした脅威の検知が難しくなっている。
また、Microsoft 365には標準でセキュリティ機能が搭載されているが、単体では防御しきれなくなっているのが実情だ。このような状況を裏づける調査結果も発表されている。Microsoft 365のセキュリティフィルターをすり抜ける脅威が、1年あたりでおよそ1671万件、1日あたりに換算するとおよそ4.5万件検知されているというのだ。
・メール関連の内部脅威
自宅などでのテレワークが増えた結果、緊張感の欠如などによるヒューマンエラー、あるいは内部不正を起因とする情報漏えいが増えている。コロナ禍前の調査となるが、2018年にJNSA(NPO日本ネットワークセキュリティ協会)が発表したレポートによると、年間の個人情報漏えい件数は443件、そのうち誤操作はおよそ25%を占めている。
なぜPPAP廃止の動きが加速しているのか
2020年11月、当時のデジタル改革担当相であった平井卓也氏が霞が関でのPPAP(添付ファイルZIP暗号化※1)廃止を明言したことを契機に、メールの取り扱いについて多くの企業で議論が重ねられている。なぜPPAPはやり玉に挙がったのだろうか。PPAPの問題点は図2のように、大きく4つに分けられる。
※1:メールの添付ファイルをパスワード付きZIPファイルとして宛先に送付するファイル共有の手段1)送信/受信者の手間
ZIP暗号化の場合、送信側にはパスワードを別送する手間が、受信側には暗号化ファイルの復号に手間が発生する。複数回ファイルを共有する場合、乗算的にパスワードの管理も煩雑になってしまう。
2)モバイル端末で復号できない
ZIPファイルはスマホやタブレットによっては展開できない場合がある。社外での作業が中心となるような業種の企業では、モバイル端末でのファイル閲覧がほとんどという場合もあるだろう。モバイル端末で受信後、速やかに内容をチェックできないというのは業務に支障をきたしかねない。
3)盗聴リスク
PPAPでは添付ファイルとパスワードとで2つのメールをそれぞれ送信するものの、通信経路を分けて送信するわけではない。この場合、経路上で盗聴されてしまえば、別送したとしても、添付ファイルとパスワードを丸々入手されてしまうことになる。
4)マルウェア攻撃への悪用
アンチウイルスソフトによっては、パスワード付きZIPファイルはウイルスチェックができないという問題点もある。ウイルスチェックが機能しなければ、マルウェアの侵入を許してしまうことになりかねない。
これらの問題点を根拠に、添付ファイルZIP暗号化(PPAP)の使用が疑問視されるようになり、代替策が求められるようになっている。
変化する環境に応じたメールのセキュリティ対策とは
ここまでの説明のとおり、昨今の環境変化によって従来のメールセキュリティに対する見直しの動きが広がっている。クラウドサービスの利用を前提とした時代において、どのようなセキュリティ対策を講じるべきだろうか。クラウドメールのセキュリティについて、受信側と送信側に分けた際の対策を整理したのが図3だ。
図3の左側は、メールの受信に関連する対策で、外部脅威対策として機能する。ビジネスメール詐欺やランサムウェア、フィッシング、標的型メール攻撃などのサイバー攻撃に対して、アンチウイルスやアンチスパム、ファイルブロック、ウェブレピュテーション、サンドボックスといった対策を講じる。一方、右側はメールの送信に関連する対策で、いわゆるPPAPや誤送信など内部脅威への対策だ。添付ファイルのダウンロードリンク化や自己チェック、上長承認・フィルタリングなどの対策が挙げられる。
受信側の外部脅威対策、送信側の内部脅威対策の双方を実施するには手間もコストもかかってしまう。Microsoft 365にも標準のセキュリティ機能は搭載されているものの、先述のとおり、セキュリティフィルターをすり抜ける脅威も一定数存在する。加えて、官公庁や大企業で始まっている脱PPAPの動きに準ずる対応も迫られている。
こうした状況に対応するため、「GUARDIANWALLシリーズ」では外部脅威対策として「Inbound Security for Microsoft 365(以下、IS365)」、内部脅威対策として「Outbound Security for Microsoft 365(以下、OS365)」を提供している。
外部脅威対策ソリューション「Inbound Security for Microsoft 365」
IS365はAPI連携で利用するMicrosoft 365向けのセキュリティ対策サービスだ。特長として、フィッシングメールにはウェブレピュテーション機能、ビジネス詐欺メールには高度なスパム対策機能といったように多様な攻撃手法に対して多層防御が可能という点がある。このソリューションの主な機能6つについて、順に紹介する(図4)。
・高度なスパム対策機能
メールの本文を検査してBECやランサムウェア、フィッシングなどの疑いがあるスパムメールを検出する。大量のスパムメールが送りつけられることで生じる業務効率の低下や、ビジネス詐欺の被害に遭う可能性を低減する。
・不正プログラム検索機能
メールに添付されるファイルやオンラインストレージにアップロードされるファイルの検査を行なうことで、仮にマルウェアが含まれていた場合には駆除、あるいはメールやファイルの隔離が可能だ。マルウェアの侵入および感染による被害を未然に防ぐことができる。
・ファイルブロック機能
例えば、「.exe」など特定のファイルタイプを指定し、当該拡張子のファイルが添付されているメールの受信やオンラインストレージへのアップロードをブロックすることで、マルウェアの侵入、および感染による被害を未然に防ぐ。ZIPファイルの受け取り拒否も可能なため、PPAP対策として活用することもできる。一部の企業では、こうした機能を用いてZIPファイルを強制的に拒否する動きも出てきている。
・ウェブレピュテーション機能
メール本文や添付ファイル内に含まれるURLの検査を行ない、不審なURLが含まれていた場合、メールを削除、または隔離を実施する。URLをクリックすることで感染してしまう、標的型メールなどへの対策を強化できる。
・情報漏えい対策機能
ファイル内の文章を検査し、あらかじめ規定した条件に合致するファイルをオンラインストレージへアップロードすることをブロックする。機密情報などが社外に漏えいするのを未然に防止する。
・仮想アナライザー機能
サンドボックスを用いて仮想OS上でファイルを実行させることで、ファイルの挙動を確認できるため、未知のマルウェアの検出・隔離が可能だ。この機能により、強固に未知の脅威やフィッシング詐欺に対応する。
IS365のポイントは、「導入・運用が容易」、「優れた検知能力」、「複数アプリケーション対応」という3点だ(図5)。それぞれのポイントを順に説明していく。
・API連携のため導入、運用が容易
メール周辺でセキュリティ対策を講じる際にネックとなるのが設定変更だろう。組織規模が大きくなるほど、対応は煩雑になる傾向にある。IS365ではAPI連携となるため、メールの通信経路の変更が不要だ。すなわち、既存のメール設定に影響を与えないため、特定部門のみテスト導入するといったスモールスタートも可能だ。
・多角的な検査による優れた検知能力
主な機能についての説明でも触れたように、メール本文や添付ファイルを多角的に検査することで、さまざまな脅威を検知・隔離する。過去には、Microsoft 365の標準セキュリティをすり抜けたEmotet(エモテット)を検知・隔離したという実績もある。
・複数アプリケーションへの対応
Microsoft 365のメール機能だけでなく、SharePointやOneDriveなどオンラインストレージへのファイルアップロードにも対応している。また、サードパーティ製品のDropboxやBoxなどにも対応するため、自社の状況に応じて柔軟な運用が可能だ。また、これらの対応についても、1ユーザー300円/月以外の追加費用は発生しない。新たな費用負担なく、複数のクラウドアプリケーションを組み合わせて利用することが可能だ。
内部脅威対策ソリューション「Outbound Security for Microsoft 365」
OS365はメールの誤送信防止機能と添付ファイルの安全な送出機能を提供する(図6)。添付ファイルの安全な送出機能は「PPAP対策」としても活用できる。Outlookのアドインとして、Outlookアプリ、OWA(Outlook on the web)ともに利用可能だ。
・メールの誤送信防止機能
メールの送信時にセルフチェック画面が表示されるため、この画面上での確認を習慣化することで誤送信を予防する。送信先に社外アドレスを含む場合や、宛先に複数ドメインが含まれる場合などは、警告メッセージが表示される。件名、宛先、添付ファイル名、本文が正しいかどうかを目視で確認し、すべてのチェックが完了後、メールを送信できるようになる。
・添付ファイルの安全な送出機能(PPAP対策)
この「添付ファイルダウンロードリンク化機能」では、送信時に添付ファイルが自動的にダウンロードリンク化される(図8)。送信者がファイル添付されたメールを送信した場合、添付ファイルのみが分離され、OS365が提供するストレージへアップロードされる。受信者にはメール本文内にダウンロードリンクが挿入されたメールが届く。受信者はそのリンクからOS365のダウンロード用のストレージへアクセスし、認証を通過することで、添付ファイルをダウンロードできる。こうした一連のプロセスにより、メールと添付ファイルの通信経路を分けることができるため、盗聴リスクを大きく低減することが可能だ。
これまでのメール運用を大きく変えることなくファイル共有できるため、わざわざ別の環境を用意する必要もない。また、メールに添付してファイルを共有する仕組みであり、メールの履歴と一緒にファイルの共有履歴も管理することが可能なため、内部不正対策としても有効だ。
・ソーシャルログインへの対応
ファイルのダウンロード時、ストレージへアクセスする際の認証で、ソーシャルログインを利用できることは大きな特長のひとつだ。ソーシャルログインでは、受信者が普段から利用しているアカウント情報など、外部サービスの認証機能をそのまま利用できるため、送信者とのパスワードのやり取りが不要となる。
OS365のソーシャルログインでは、Microsoft 365とGoogle Workspaceに対応している。これらの強固な認証サービスを利用することで、よりセキュアにファイルのダウンロードを行なえるのだ。Microsoft 365またはGoogle Workspaceのアカウントを利用していない受信者の場合、ワンタイムパスワードの発行も可能なため、アカウントを有していない場合でも特に問題は生じないだろう。整理すると、図9のようにOS365のポイントは、「導入が容易」、「運用が容易」、「コストパフォーマンス」の3つとなる。
・アドインの配布だけで導入が可能
OS365はOutlookアドインを管理者が従業員に配付するだけで利用可能になるため、IS365同様に、メールの通信経路を変更する必要がない。もちろん、特定部門のみテスト導入するといったスモールスタートが可能な点もIS365と同様に有益な特長だ。
・運用時の管理作業が不要
従業員にOutlookアドインを配付した後は、原則として管理者側にて設定を行なう作業は不要だ。送信メールが自動でダウンロードリンク化されて宛先に送られるため、受信者がダウンロードする際にストレージへアクセスする場合でもパスワードの授受が発生しない。
・1ユーザー100円/月で導入可能
メールの誤送信防止と添付ファイルの安全な送出という機能を備えたOS365は、ユーザー単位で課金される。初期費用が不要で、1ユーザーあたり月100円で、PPAP対策を兼ね備えた誤送信対策が実現できるのだ。
コスパが良いメールのセキュリティ対策を
DX推進の動きなども影響して、企業間のコミュニケーションはデジタルへのシフトが強く求められている。そうした環境の変化を受け、ビジネスチャットを導入した企業も少なくないのではないだろうか。しかし、ビジネスチャットを導入したとしても、取引相手がメールのみの場合は変わらずメールでコミュニケーションをとることになる。また、メールの登場で早晩の淘汰が予想されていたFAXも未だに使用している企業があることを考慮すると、当面はメールでのコミュニケーションも残っていくことは想像に難くない。
しかし、先述のように霞が関をはじめ、大企業を中心として強制的にPPAPを廃止するなど、メール授受の方法も大きく変わってきている。近い未来を見据えても減少していくことが見込まれる、メールというコミュニケーション手段への多額の投資は経営判断としても難しいだろう。
今回紹介した、クラウドメールセキュリティ対策ソリューション「Inbound Security for Microsoft 365」、「Outbound Security for Microsoft 365」はともに初期費用が不要で、必要な従業員分だけの購入で済む。
メールセキュリティ製品としてGUARDIANWALLシリーズはその強固なセキュリティには定評がある。ここまで述べてきたように、IS365は受信時の外部脅威対策として、OS365は送信時の内部脅威対策として、それぞれセキュリティ強化に寄与するため、PPAPへの代替手段としても有効だ。
IS365、OS365ではそれぞれ評価版を提供している。30日の試用期間で自社のビジネス環境に合致したソリューションかどうかを検証できるため、メールセキュリティに課題を抱えている場合は一度試してみてほしい。導入、運用の負荷が少ない両ソリューションは、多忙なシステム管理者にとって福音とも言えるのではないだろうか。
<セミナー動画公開中!>
この記事の編集者は以下の記事もオススメしています
-
デジタル
サイバー攻撃とは何か、その代表的な手法と対策について解説 -
デジタル
パスワードの重要性と抱えるリスクを認識して適切な管理を! -
デジタル
ウクライナを狙うデータ消去マルウェア「HermeticWiper」 -
デジタル
スマホで位置情報を利用する際に注意すべきポイント -
デジタル
PayPalアカウントは簡単に乗っ取られる? 友人で実験してみた -
デジタル
「iPhoneが盗聴されている」という噂は本当? リスクを回避する方法を解説 -
デジタル
企業はどのように標的型攻撃と対峙すべきか -
デジタル
セキュリティ的に意味のない「PPAP(ZIPファイルのパスワードは別送します)」の習慣をどうやって変えていけばいいのか