メール添付が禁止に!?ファイル受け渡しのニューノーマル


平井卓也デジタル改革担当相により、中央省庁の職員が文書などのデータを他者に送る際、パスワード付きzipファイルをEメールに添付する運用法を今後廃止する方針であることが表明されました。また、パスワード付き(暗号化)ファイルが添付されたEメールの受信を廃止すると発表する企業もでてきました。
では、今後相手にデータを送る際には、どのようにすれば良いのでしょうか?これまで多く利用されてきたやり方が、ここにきて廃止へと舵を切られている背景とあわせてご紹介します。

メール添付からの脱却の流れ

資料を相手に送る際、皆さんはどのようにされていますでしょうか?Eメールに添付しているという方が一番多いと思われます。送りたいデータを圧縮しパスワードで暗号化してからEメールに添付し送信、その後別のEメールで解凍パスワードを送るというやり方です。
この方式は一部の専門家の間では「PPAP」とも呼ばれ、セキュリティ的には意味がない面があるともいわれています。

この「PPAP」=暗号化ファイルのメール添付送信は、送る側も受け取る側も双方に手間がかかります。では、なぜいまだに多くの方がこの方法を利用されているのでしょうか。「セキュリティ向上のため」「慣習として」という回答が大多数かと思います。本当にセキュリティが向上しているのかどうか?ということは後述しますが、コロナ禍でテレワークが進んだ結果、その慣習がテレワークの運用を阻害するような問題も顕著化し、これまでの当たり前を見直す動きがでてきました。その代表的なものとして捺印のあり方が取り沙汰されていますが、さらに平井大臣の前述の表明により、Eメール添付の文化もターニングポイントをむかえているようです。

平井大臣によると、「全ての文書をzipファイル化するのは何でもはんこを押すのに似ている。そのやり方を今までやってきたからみんなやってたと思うし、メールの内容をスマホで見られないのは致命的だ」とし、全廃することを決めたということです。
また、平井大臣の発表の翌日には、freee株式会社が「メールによるパスワード付きファイルの受信を廃止 」ということを発表しました。メールに添付されたパスワード付きファイルは、メールサーバーで自動的に削除され、ユーザーはメール本文のみを閲覧するようになるようです。パスワード付きファイルはメール受信時のマルウェア検査を迂回させるため、結果的にパスワード無しのファイルと比較して社内のセキュリティリスクを増大させていることが理由とのことです。

これまでメール添付がおこなわれてきた3つの理由

これまで「セキュリティ向上のため」として多くの方が使われてきたやり方は、実はセキュリティリスクを増大させていた、ということになります。では、そもそもなぜパスワード付きzipファイルは必要だったのでしょうか? 大きく分けて3つの理由があげられます。

  • 第三者への情報漏えいの防止
  • 情報セキュリティコンプライアンスの相手先へのアピール
  • ISO27001やプライバシーマーク、ISMSなどの資格取得のため

誤送信や盗聴などで意図せず第三者にファイルが渡った場合にも、情報が漏れないようにするというのが最も大きな理由です。それ以外にも自社が情報セキュリティに関するコンプライアンスに気をつけていることを他社に示して信頼してもらうことや、IS027001やプライバシーマーク、ISMSなどの情報セキュリティ資格を取得するための条件として掲げられているといった理由もあります。しかし、プライバシーマーク制度を運営する日本情報経済社会推進協会(JIPDEC)は、「メール添付のファイル送信について 」を公開し「プライバシーマーク制度としてもパスワード付きファイルの送信は、個人情報の漏えいを招くため従来より推奨していない」と明言しました。

ファイルのメール添付送信をやめる必要性

パスワード付きファイルが利用されてきた背景を紹介しましたが、以下で、パスワード付きファイルのメール添付送信をやめる必要性がある理由を解説します。

一般的にパスワード付きファイルはパスワードがないと閲覧できません。しかし、Windows用の無料解凍ソフトの中には、パスワードを解析する機能がついているものがあるようです。Webサイトと異なりパスワードを間違えても入力の回数制限が無いことから、そういったソフトを使えば解析されてしまう可能性もあります。もう一つ、メールの盗聴という懸念もあります。
パスワード付きファイルの添付は、パスワードもメールで送信している以上、添付ファイル付きメールが盗聴された場合、パスワードも盗聴されていると考えるのが自然です。パスワードを伝える手段は、メールではなく電話やチャットなど別のやり方にする必要があります。

また、一番の問題はセキュリティシステムをすり抜けてしまうという点です。メールのセキュリティソフトは、メール本文に書かれたURLや添付ファイルをスキャンし、危険がないものだけを受信できるようにしています。しかし、添付ファイルが暗号化されている場合、セキュリティソフトはスキャンできず、チェックをすり抜けてしまう場合があります。
実際、猛威をふるっているマルウェア「Emotet」では、パスワード付きzipファイルのセキュリティホールを利用した攻撃事例も報告されているそうです。

こういった点が、パスワード無しのファイルと比較してセキュリティリスクを増大させているという皮肉な結果となっています。
しかし、パスワード無しのファイルをそのまま添付してメール送信をすると、誤送信のリスクは残ったままです。さらに昨今のテレワーク環境の中で平井大臣の言うとおり、スマホで確認できないという点も見逃せない理由です。

暗号化ファイルのメール添付送信法の代用策とは

パスワード付きzipファイルの廃止や受信拒否という風向きの中、今後はどのようにファイルを送ればよいのでしょうか?
代替策として有効なのは、BoxやDropboxといったクラウドストレージの利用です。そういったサービスには個人版とビジネス版がありますが、企業のセキュリティを向上させるという観点から考えると、ログの確認など監査機能がついているビジネス版での運用が望ましいです。

クラウドストレージと聞くと、ファイルをクラウドに保存しておくだけのものという認識の方もまだまだいらっしゃるかと思いますが、データの受け渡しなどの機能も充実しています。また、スマホ・タブレット用の専用アプリも用意されているので、外出中でも確認できるというメリットもあります。

クラウドストレージを使ったファイルの受け渡し方法

共有リンク

相手にファイルを送るのに便利なのが、共有リンク機能です。
大容量のファイルを送る際に、ファイル転送サービスを利用された経験のある方も多いかとは思いますが、おおよそ使い方のイメージは同じです。クラウドストレージ上にあるファイルやフォルダーに対し、共有リンク(URL)を作成して相手に送るという方法です。この方法だと、相手がそのサービスのアカウントを持っていなくても、ファイルを受け取ることが可能です。リンクの有効期限やパスワードの設定、ダウンロードの可否といった細かい設定をすることもできます。
また、作成されたリンク(URL)をあとから削除(取り消し)することができるので、万が一リンクを記載したメールを他へ誤送信してしまった場合でも、ダウンロード前ならファイルは相手の手には渡りません。
ダウンロードの可否という点や、リンクを削除できるという点は、ファイル転送サービスにはついていない機能で、セキュリティの向上に有効です。ただし、パスワードを設定した際は、相手にそのパスワードを伝える必要があるということは変わりません。

ファイル共有

さらなるセキュリティの向上に役立つのが、ファイル共有という方法です。相手もそのサービスのアカウントを持っている必要がありますが、逆に都度リンクやパスワードを送る必要がありません。
ファイル・フォルダーに、共有する相手に適したアクセス権限を設定することができます。フォルダーを共有すれば、共通のストレージ(ワークスペース)として利用することも可能です。個別のファイルやフォルダーにアカウントごとにアクセス権限を柔軟に設定することができます。
アップロードされたファイルは差し替えも簡単でその履歴も残ります。常に最新のデータが確認できることは、データの複製やバージョン違いの同一データによるインシデントを防ぐことにも繋がります。相手側の企業のセキュリティポリシーなど、配慮しなくてはいけない点もありますが、データの受け渡しにおけるセキュリティという点に関しては、現時点では一番有効な手段ではないでしょうか。

クラウドストレージを活用したファイルの受け渡しが新たなスタンダードに

コロナ禍において「ニューノーマル 」という言葉を日常的に聞くようになり、これまでの当たり前が通用しなくなってきています。しかし、これまでの当たり前だったやり方に変わる、新たなスタンダードはまだ決まってないのが現状です。新しい働き方の実践に取り組む中、効率的に業務を進めていく上でも、クラウドストレージを活用したファイルの受け渡しが企業の新たなスタンダードになっていく可能性は大いにあります。

弊社ではクラウドサービスの導入に向けた相談会・デモ会 を毎月開催しております。安全なファイルの受け渡し方法にご興味のある方は、ぜひお申し込みください。


ホワイトペーパーダウンロード

クラウドサービス個別デモ会 先着順受付中