国産メールセキュリティ企業が考える PPAP の 4 つの代替手段 | ScanNetSecurity
2021.01.27(水)

国産メールセキュリティ企業が考える PPAP の 4 つの代替手段

株式会社クオリティアは12月23日、添付ファイルのZip暗号化(PPAP)について同社の見解を発表した。世界に稀な独特のビジネス習慣であるPPAPは11月17日に平井デジタル改革担当大臣が、霞が関での利用を11月26日から廃止すると会見で明らかにしたことで注目されている。

製品・サービス・業界動向 業界動向
株式会社クオリティアは12月23日、添付ファイルのZip暗号化(PPAP)について同社の見解を発表した。世界に稀な独特のビジネス習慣であるPPAPは11月17日に平井デジタル改革担当大臣が、霞が関での利用を11月26日から廃止すると会見で明らかにしたことで注目されている。

同社ではZip暗号化について、2012年にはISMSやPマークを取得するうえで添付ファイルのパスワードによる暗号化が効果的であるという見解が示されたことから広く一般的になっていった過程を述べた上で、問題点として「暗号化した添付ファイルとパスワードを同一経路で送信している」「ファイルを暗号化してメール添付するとゲートウェイでのウイルスチェックができない」の2点を挙げた。

「暗号化した添付ファイルとパスワードを同一経路で送信している」については、暗号化したファイルをメール添付し送り、同一経路で後追いパスワードを受信者に伝えることは、その経路上が第三者に盗聴された場合にパスワードまで傍受され意味が無く、「ファイルを暗号化してメール添付するとゲートウェイでのウイルスチェックができない」については、Emotetや新たに報告されたIcedIDなどのマルウェアは、ファイルを暗号化しメール添付するため、一般のセキュリティソフトでの検出が困難である点に言及。

同社ではPPAPの代替手段として現状考えられる以下の4つを挙げ、その懸念点について述べている。

1.STARTTLS、MTA-STS(TLS1.2以上)、DANEなどのメールサーバ間のセキュリティ対策を利用する
[懸念点]
・送信者と受信者のEnd to Endの暗号化ではなく、誤送信防止にはならない
・メールクラウドサービスを利用している場合、通信経路の暗号化はクラウド事業者の対応可否に依存し、自分の意志で暗号化の有無を決められない

2.クラウドストレージを利用する
[懸念点]
・URLとパスワードを同一経路で送るとPPAPと同じことになる
・過去のメールから検索し、当時送付されたファイルを確認しようとした際にメールとファイルが分かれているため、ファイルの特定が困難

3.S/MIME、PGPなどの電子署名と暗号化の仕組みを利用する
[懸念点]
・証明書や鍵の管理が容易ではなく、ゲートウェイでのウイルスチェックができない
・利用可能なメールクライアントが限定され、送受信を行うには相手にも高度なナレッジを求めることになる

4.チャットやSNSなどを利用する
[懸念点]
・送信者、受信者ともに同一のアプリケーションを使用している必要がある
《高橋 潤哉( Junya Takahashi )》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×