今日からはじめる 「脱PPAP」
「PPAP」 をまだお使いですか?
PPAP(ピーピーエーピー) はパスワード付きZIPファイルとパスワードを別々のメールで送付する手法で、一時、ファイルを安全に相手へ送信する方法として日本国内では広く普及しましたが、セキュリティ上の問題点があることから、近年では廃止する動きが広まりつつあります。
暗号化されたZIPファイルはウィルス検出されない場合があり、マルウェア攻撃に悪用される(相談急増/パスワード付きZIPファイルを使った攻撃の例(IPA)
盗聴対策としては有効ではない (ファイルとパスワードが同じ通信経路を通るため、パスワードを盗聴される可能性がある)
メール誤送信対策にならない(PPAP方式を採用している企業のほとんどは [添付ファイルをメールに付けて送信すると自動で暗号化しパスワードを別送するツール]を利用しており宛先ミスに気付かない)
"PPAPは送受信とも利用禁止の傾向が強まる。暗号化Zipファイルによるな りすましメール被害流行を受け、3割が今後受信禁止へ"
PPAPの一般的な代替手段としては、オンラインストレージ、ファイル送信サービス、ビジネスチャット等が提唱されていますが、それぞれに一長一短あり、PPAP をいまだに使い続けている企業は少なくありません。
当社では、 Microsoft 365 導入企業における「脱PPAP」の有力な選択肢として「メールの暗号化(=メッセージの暗号化)」を推奨しておりますので、本記事でご紹介します。
Microsoft 365 で出来る 「メールの暗号化」
Microsoft 365 で使用可能なメールの暗号化オプションは以下の3種類です。
OME(Office 365 Message Encryption)
IRM(Information Rights Management)
S/MIME*(Secure/Multipurpose Internet Mail Extensions)
Micro 365 で使用可能な電子メール暗号化オプションの比較
暗号化オプションはどれがよいのか?
S/MIMEは20年以上前から存在する暗号化方式ですが、コストと利便性の課題があり、全く普及していません。選ぶとすれば OME や IRM ですが、いつの間か(!) OME と IRM の両方を統合した新バージョン Microsoft Purview Message Encryption が提供されていました。
メッセージ暗号化の機能比較
ということで、ここからは Microsoft Purview Message Encryption(以下、Message Encryption) について記載していきます。
Message Encryption の優位性
送信者の操作手順を変更する必要がない
従来通りメールにファイルを添付するだけで暗号化されます。受信者のメール環境を気にしなくてよい( Microsoft サブスクリプションは必要ない)
ワンタイムパスワードを取得して、Microsoft ポータルサイトからメールと添付ファイルを確認できます。※Azure AD 組織アカウントにサインインしている場合は暗号化されたメッセージを表示できます。
Message Encryption に必要なライセンス
Exchange Online と Azure Infomation Protection(AIP)です。スイートプランでは、Microsoft 365 Business Premium、Office 365 Enterprise E3 / E5、Microsoft 365 E3 / E5 に含まれています。
Message Encryption の設定手順
必要なサービスが既定で有効化されているかの確認
メールフロールールの作成
例えば [宛先が外部ドメインで添付ファイルがある場合、メッセージを暗号化して送信する] というルールを作成します。
EACを使用して、Message Encryptionを使用して電子メール メッセージを暗号化するためのルールを作成する
暗号化された電子メールを送信する
ユーザーがルールに一致するメッセージを送信する場合、自動的に暗号化が適用されます。
ルールに一致しない場合でも、送信者が Outlook やOutlook on the Web から任意に [暗号化] [転送不可※] を指定できます。
※[転送不可にすると、受信者はメールの転送、本文のコピー&ペーストや印刷ができなくなります。
誤送信防止対策はどうするの?
Message Encryption 自体には誤送信防止機能はないため、別の手段で対策を講じる必要があります。Microsoft 365 標準機能で、いちばん手軽なのは Outlook on the Web の「送信の取り消し」です。 取り消し機能を有効にすると、送信ボタンを押した後設定した一定時間(最大30秒)送信処理が待機され、 [元に戻す] を押すと送信処理が取り消しされる動作となります。
Outlook on the Web で送信の取り消しが可能になりました
他に、当社のお客様(金融系商社)で「宛先が外部ドメインで添付ファイルありの場合、送信者の上司に通知され、上司が承認するまで送信処理が保留される」というメールフロールールを設定している事例もございます。
「メールの暗号化」 以外の選択肢
Microsoft365 を利用した「脱PPAP」対策は、メールの暗号化以外にも「ファイルを添付せずに SharePoint の共有リンクを送信」「ゲストアカウントを使用したドキュメント、サイト、チーム共有」「秘密度ラベルを使用してコンテンツへのアクセスを制限する」などの選択肢がございます。組織のセキュリティポリシーやご予算等に応じて適切な手段をご検討ください。
おわりに
PPAP廃止のターニングポイントは、2020年11月に当時のデジタル改革担当大臣が、中央省庁における「自動暗号化ZIPファイルの廃止」を表明した記者会見でした。平井内閣府特命担当大臣記者会見要旨 令和2年11月24日
この発表は、民間企業にも大きな影響を与え、例えば、日立グループでは「2021年12月13日以降のすべてメール送受信において、パスワード付きZIPファイルの利用を廃止する」ことを表明しています。
日立グループにおけるパスワード付きZIPファイル添付メール(通称PPAP)の利用廃止に関するお知らせ(2021年10月8日)
昨今のサイバー攻撃事案のリスクの高まりを踏まえると、こうした動きは、業種や規模を問わず、広がっていくと思われます。ビジネスにおいてPPAPによるファイル共有は明らかに時代遅れであり、今後「PPAPを利用している(セキュリティ意識の低い)企業とは取引しない」という風潮になることも十分あり得ると思われます。
Microsoft 365 で出来る「脱PPAP」の必要性やメリットは理解したが、環境設定等は自力では難しい…という場合は、当社でもお手伝いができるのでお気軽にご相談ください!では良い週末を!