カテゴリー: クラウド

パスワード付きZIPファイルは廃止へ…なぜダメなのか、その代替案は?

PPAP(パスワード付きzipファイル)というのはメールで添付ファイル送信時に、ファイルがZIP化され、直後にパスワードが送られるシステムで、官民問わず多く利用されています。しかし、2020年11月17日に平井卓也デジタル改革担当相が、中央省庁でのパスワード付きZIPの使用を廃止する方針を打ち出しました。平井氏は会見で、PPAPについて「セキュリティ対策や受け取り側の利便性の観点から適切ではない」と明言しました。本記事では、なぜPPAPはダメなのか、何か代替できる方法はないのか、ということについて解説します。

なぜパスワード付きZIPファイルはダメなのか?

ファイルにパスワードを掛ければ誰にも見られませんし、受信者しかパスワードを認証できません。多くの企業で使われているからという点で問題はないように思えます。しかし、パスワード付きファイルの運用には、下記2点のようなセキュリティ上の欠点が挙げられます。

①マルウェアの拡散を助長

例えば「Emotet」(エモテット)です。Emotetは主にEメールを感染経路とするマルウェアです。受信者が添付ファイルを開くと、Emotetがダウンロードされます。当初はオンラインバンキングのアカウント情報を窃取することを目的としたマルウェアとして報告されていましたが、最近では主にEメールによる感染が報告されており、日本国内の組織へ広く着信しています。本来メールサーバーにセキュリティ対策製品が施されていれば、基本的に自動検知・防御することができます。しかし、添付ファイルが暗号化されているとこれらのシステムが機能できなくなります。それを利用して「Emotet」は、Word形式のファイルをパスワード付きZIPにして添付し、パスワードを記載した偽装メールを送り、ユーザーに解凍させてマルウェアに感染させようとします。
一旦Emotetに感染すると、個人情報の流出や重要なデータの窃取、Eメールによる更なる拡散などの被害が発生する可能性があります。

②「二要素認証」ではないため、攻撃者から奪取しやすい

近年「二要素認証」をよく聞くようになりました。「二要素認証」とは、本人確認に2つ以上の異なる要素を組み合わせることで、セキュリティを強化する認証方式です。例えばSNSやインターネットバンキングなどのクラウドサービスにログインする時、従来のパスワード認証に加え、スマートフォン宛に送られてきたワンタイムパスワードを利用する方式となります。攻撃者にとっては、パスワードとスマートフォンの両方を奪取していないと突破できないことから、認証強度を高める事が可能です。

一方、パスワード付きzipファイル+パスワード別送というPPAPの運用は、結局同じ経路で送信してしまうので、攻撃者はメールという単一の要素を攻撃すればよくなります。わざわざ手間をかけて作ったzipファイルなのに、結局セキュリティの観点からあまり意味がないというわけです。

代替案は?何か選択肢があるのか?

では、パスワード付きzipファイルを廃止する理由が分かりますが、ファイルを安全に送るには代替できる方法はないのでしょうか。

① 外部オンラインストレージ

現在よく見られるPPAPの代替案は、オンラインストレージサービスを利用することです。つまりオンラインストレージ(クラウド)にファイルを置き、そこにパスワードと有効期限を設定してメールで通知する方法です。第三者のクラウド運営者からストレージを購入し、クラウドにデータを置くと、どこからでもアクセスできるという魅力があります。また万が一、デバイスが故障した場合にもオンラインストレージ上のデータに影響はないため、安心してデータ管理ができます。


一方、外部オンラインストレージは100%安全なのかというと、リスクがゼロというわけではありません。外部オンラインストレージを使うと、企業の外部にデータを保有することになるので、さまざまなリスクが懸念されます。例えば、障害によるデータ消失、情報漏洩のリスク、管理の手間、サービスそのものがハッカーに狙われて情報流出するなどの可能性があります。また、クラウド運営者からデータは見ることができる状態なので、重要なデータが見られてしまうかは正直不透明です。

② 自社のオンラインストレージを設置

外部のオンラインストレージサービスを利用することも良いですが、自社にオンラインストレージを立てたら、セキュリティやプライバシーなどの心配はありません。株式会社ZEROTOPでは「Waffle Cell」という小型サーバーを提供しています。その中には「Nextcloud」というプライベードクラウドがあり、より安全に簡単に自社にオンラインストレージを作ることができます。データはクラウド上ではなく「Waffle cell」内にあるので、情報流出の心配もありません。写真や動画などの大容量データを共有したい場合、一時的に共有URLを発行し、パスワードや有効期限を設定してクライアントや制作会社などと安全にデータをやりとりすることができます。

Waffle cellにデータを保管すると、クラウドと同様にネット環境さえあれば、どこからでも、どんなデバイスからでも、データやアプリケーションへのアクセスが可能です。クラウドと異なりデータはWaffle cellの中にあるので、誰からも見られることはありません。フォルダ自体を暗号化することも可能なので、万が一、不正なアクセスがあった場合でも、情報流出を防ぐことができるので、より厳格な管理が必要な特定個人情報であるマイナンバーや大切な顧客の個人情報など、重要なデータの管理にも有効です。

また、「Waffle cell」の導入には初期サーバーの購入費用だけで、保守・運用面でのコストがかからないのも大きなメリットだと言えます。全体的にインフラにかかる経費が削除できます。

まとめ

情報通信技術の発展に伴い、サイバー犯罪は増加し、多様化し続けています。データアクセスの利便性とセキュリティ強化を如何に両立させるかは、企業の多くが抱える課題だと言えます。中央省庁では「パスワード付きzipファイル」の運用を廃止する方針を打ち出しました。この機会に、民間企業でも自社の運用状況を見直しつつ、セキュリティに優れた対策を検討しましょう!

Waffle Cell

ZEROTOPはお客様のニーズに合わせて、最適な解決策をご提案いたします。
ぜひお気軽にお問い合わせください。
詳細はこちら⇒https://wafflecell.i-seeds.ne.jp/

企業がクラウドを利用する場合のリスクと対策について

この数年で、クラウドサービスで、いくつか大規模な障害や事件が起きていますが、企業のクラウド利用は今後も増加していく傾向にあるようです。クラウドサービスを利用することの危険性やリスクを感じていても、基本的には利便性が高いので、ついつい利用してしまっている企業も多いのではないかと思います。

今回は、近年のクラウドにおけるトラブルを振り返りながら、企業がクラウドを利用する上で必ず認識しておかなければならないリスクと、その対策についてまとめます。

 

最近発生したクラウドサービスの主なトラブル

2014/4 「firestorage」のファイルURL、ヤフーの広告主が閲覧可能な状態に
大容量のデータをやり取りする際など便利なので、利用されている会社も多いですが、昨年の4月にyahooの広告主が、無料・非登録ユーザーによってアップロードされたファイルが閲覧できる状態になっていたというトラブルが発生しています。https://www.itmedia.co.jp/news/articles/1404/25/news168.html

 

2014/1 Dropboxが約2日間に渡ってダウン!
オンラインストレージ最大手のドロップボックスで、日本時間の2014年1月11日に世界中でサービスがダウンし、アクセスできない状態に陥りました。完全復旧まで約2日ほどかかりました。
https://gigazine.net/news/20140114-dropbox-down-2days/

2014/10 ドロップボックスのバグでユーザーファイルが完全消去
昨年の10月には、ドロップボックスのサーバーに保管していたユーザーファイルが完全に消失するという事態が発生しています。また、同時期に700万件のID、パスワードが流出!というニュースもありましたが、真偽のほどは不明です。
https://gigazine.net/news/20141014-dropbox-bug/

 

2014/9 有名人の写真が匿名掲示板に大量流出
Appleの「iCloud」からハリウッド女優など100人あまりの有名人の個人的な写真が流出し、SNSや匿名掲示板に投稿された事件。Appleではシステム的な問題ではなくユーザー名、パスワード、秘密の質問が破られたことが原因と発表しています。
https://www.itmedia.co.jp/enterprise/articles/1409/02/news037.html

 

2014/9 Gmailアドレスとパスワード約500万件が流出か
ロシア語の掲示板サイトにメールアドレスとパスワードを組み合わせた情報約500万件が掲載。流出元は不明でGoogle 側では「当社のシステムが破られた形跡はない」とコメントしています。
https://www.itmedia.co.jp/enterprise/articles/1409/11/news043.html

 

2012/6 ファストサーバー、サービス障害でweb・メールデータが消失
少し前の出来事ですが、クラウドに預けていたデータが消失してしまった事件。被害にあった顧客は約5700。webサイトやメール、顧客情報の喪失など被害総額1750億円とも言われる大事件です。
https://tech.ascii.jp/elem/000/000/704/704142/

 

企業が認識しておかなければならないクラウドのリスク

上記にあげたトラブルから考えると、クラウドサービスを利用する上で認識しておかなければならないリスクは概ね以下の6点に絞られます。

 

1 クラウドにあるデータは、トラブルにより消失してしまう可能性がある


2 クラウドにあるデータに、障害によりアクセスできない場合がある


3 クラウドサービスのID、パスワードへのアタックで不正ログインされる可能性がある


4 クラウドサービスを提供する企業から、人的な要因で情報が漏れてしまう可能性


5 トラブルが発生した場合、十分な損害賠償が得られない可能性も高い


6 データセンターの置かれた国によって、個人情報の取扱いなど法的な規制や場合によっては、検閲、データ差押えなどの可能性がある。

 

いずれも、クラウドに預けておいたデータによっては、中小企業の場合、深刻な事態につながりかねません。クラウドを利用する際には、これらの危険性を意識し、対策を準備した上で利用すべきです。

 

リスクへの対策

・データの消失、障害に対して
まず1,2に該当するデータの消失や障害によって、データが利用できなくなる場合については、常にバックアップをとっておくことが非常に重要です。
異なる媒体や形式で2ヶ所以上、1つは火事などの災害を考えると物理的に別の場所にバックアップをとっておくことが望ましいです。

 

・情報漏洩リスクへの対策
アカウントへの不正ログインに対しては、2段階認証を必ず設定すること、パスワードを定期的に変更したり、予想されやすいパスワードは避ける、他のサービスとのパスワードを重複させない、などが一般的です。
ただし、ベネッセの事件のように人的な要因で開発サイドから情報が流出してしまうケースもあり、サービス利用前に管理体制などをしっかり確認していたとしても、この可能性を完全に排除することは難しいように感じます。

 

・トラブル発生時の保証
事前に契約内容を確認する必要がありますが、利用規約で損害賠償の上限について記載されている場合が多く、トラブル時の保証については、あまり期待できないのが現状です。

 

・カントリーリスクについて
海外を拠点とするクラウドサービスについては、「利用を避ける」以外にこのリスクを完全に排除することはできません。

このように、企業として、クラウドサービスを利用するにあたっては、上記のようなリスクを可能な限り排除した上で利用していくことが必要です。

 

クラウドのリスクを解決!クラウドの利便性+万全のセキュリティ!次世代型プライベートクラウド「waffle cell」