マクニカでも11月22日付でPPAP廃止、受信は継続

SHIFT SECURITY セキュリティの学び場ニュース解説マクニカでも11月22日付でPPAP廃止、受信は継続

マクニカでも11月22日付でPPAP廃止、受信は継続

2021.11.17 ニュース解説

今回の解説ニュース
PPAPの問題点とその対策
時代の流れとともに変わる暗号化の歴史

こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。

今回の解説ニュース

『マクニカでも11月22日付でPPAP廃止、受信は継続』

株式会社マクニカは11月9日、同社でこれまで採用していた、メール送信時に添付するファイルをZIP暗号化しパスワードを別送する方式（PPAP）を11月22日付で廃止すると発表した。(記事はこちら)

【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】

セキュリティのPPAPを廃止することについて発表されています。PPAPも含めて、時代の流れとともに変わっていったセキュリティ対策について説明します。

セキュリティ用語のPPAPとは、「パスワード付きzip暗号化ファイルを送ります」「パスワードを送ります」「暗号化」「プロトコル」の頭文字を取った、メールで添付ファイルを送信する日本固有の習慣です。今年に入って複数の組織から、PPAPを廃止する取り組みが発表されています。

今回、PPAPの廃止を発表した組織はその理由として、パスワード付き暗号化ZIPファイルを添付することでマルウェアなどのセキュリティリスクが高まることを挙げています。また、今後は添付ファイルをそのまま送信するが、受信するメールの取り扱いについては変更は無いということです。

PPAPの問題点とその対策

添付ファイルをそのまま送信する場合、メールの配送中にセキュリティチェックができるメリットと、メールアカウントが乗っ取られた際に盗み見られるデメリットがあります。また、その他の対策としては、メール以外のコミュニケーションツールでファイルを共有することが挙げられます。

改めてPPAPの問題点ですが、今回の廃止理由としても挙げられている通り、メール配送中のセキュリティチェックをすり抜けてしまうことが挙げられます。それを逆手に取ったマルウェアが出現するなどしたため、PPAPを廃止する組織が増えてきました。また、メールで交換したZIPのパスワードが盗み見られる可能性も否定できず、かかる手間の割には得られるセキュリティのメリットが少ないことも挙げられます。

添付ファイルをそのまま送信すると、メールの配送中にセキュリティチェックができるメリットはありますが、メールアカウントが乗っ取られた際にメールボックスからファイルが盗み見られてしまう可能性があります。対策として、ストレージサービスを利用することで、メールアカウントの乗っ取りによる盗み見については防ぐことができます。なお、ストレージサービスやエンドポイントでセキュリティチェックがなされていることが前提となります。

その他の対策として、メールでファイル共有することは避け、その他のコミュニケーションツールを利用することが有効です。理由は、メールでのファイル共有はマルウェアによる「なりすまし」や「誤送信」などのリスクもありますが、認証済みのユーザによるコミュニケーションツールでファイルを共有する場合は、メールと比較すれば、なりすましや誤送信のリスクは下げられると考えられます。

時代の流れとともに変わる暗号化の歴史

昔は有効とされていたけど、今は無効とされているセキュリティ対策には、暗号化の歴史が当てはまります。時代の流れとともに変わっていった暗号化の歴史について簡単に説明します。

暗号化の歴史　～SSL/TLS～

データを暗号化して送受信する仕組み「　SSL/TLS　」: インターネットでデータを暗号化して送受信する仕組みの一つに「SSL/TLS」があります。SSL/TLSはSecure Socket LayerとTransport Layer Securityの略で、データを暗号化して送受信する仕組みです。主にWebサイトで重要なデータを送信する際に、第三者から盗聴されないことと、データが改ざんされていないことを証明します。
SSLとTLSの歴史: 1994年に初めてリリースされたSSLとTLSの歴史はつながっており、1999年にSSL3.0を元に開発されたTLS1.0がリリースされました。2014年にPOODLEと呼ばれるSSL3.0の重大な脆弱性が発見されたことは、セキュリティ業界だけでなくIT業界全体でも大騒ぎになりましたので、皆さんも記憶されているかもしれません。逆を言えば、リリースされてから約9年間はSSL3.0は安全とされていたことになります。; その後、SSL3.0は多くの環境で無効にする設定が行われましたが、TLS1.0や1.1にも脆弱性が確認されたため非推奨とされています。大手Webサイトでは自主的にTLS1.1以前のバージョンでアクセスするブラウザをサポート対象外としたり、最新のスマートフォンではTLS1.2を必須とするアプリも見られるようになりました。そして、TLS1.2のリリースから10年ぶりの2018年にTLS1.3がリリースされています。

このように、過去には安全とされていた暗号化の仕組みも、現在では危険とされることは少なくありませんし、この先、TLS1.3も同様の歴史を歩むことも否定できません。また、コンピュータの処理能力と比例関係にある暗号化アルゴリズムに求められる強度も、年々上がってきています。暗号化以外でも、セキュリティ対策の当たり前を疑うことは、新しい脅威に立ち向かうためには重要です。セキュラジでも引き続き最新のセキュリティについてお届けできたらと思っています。

Voicyでニュース解説ラジオ配信中！

今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください！

今日の10分セキュリティラジオはこちら

この記事の著者セキュラジチーム

話題になっているセキュリティニュースやセキュリティに関する疑問を専門家の解説と個性豊かなパーソナリティたちがお送りしています。1日10分で、気軽にセキュリティの知識を深めることができます。放送は月曜・水曜・金曜の朝7時15分。