企業のセキュリティ対策なら

スワットブレインズ

ブログ

スワットカメラ

スワットカメラにようこそ!!
スワットカメラは、弊社の営業や技術スタッフが、販売店の皆さまやお客様とお仕事させていただいたときの"こぼれ話"を中心に、弊社がある京都での話題などをブログ形式で掲載していきます。
どうぞ、末長くご愛読いただけますようお願いします。

ついに、メール添付ファイル配送 パスワード付ZIP添付の終焉が来た!

2021年9月16日

訂正 2021年10月1日

いきなり具体的な事から紹介します。

2021年10月11日12月13日から、日立製作所様と日立グループ各社様では、順次電子メールの送受信ついて、これまでの運用を大きく変更されるそうです。

実はこの話題、弊社のお取引先から聞きました。

また、これを理由にした対応策について、弊社へ相談が集まってきています。

最初、え? なに? どうしたの? っていうのが感想でした。

日立製作所様と、日立グループ各社様では、かなり以前から
・電子メール添付ファイルの パスワード付ZIP化 を止める。

と、報道されていました。
しかし、具体的に「いつから実施」は明らかではありませんでした。

それが! ついに! その日が来ます!

★ 2021年 令和3年 10月 11日(月) が、その日です!!→ 12月13日に延期されたようです

もう少し具体的に話を進めましょう。

教えていただいた話題なので、正しい表現では無いかもしれませんが、お取引先様から伝え聞いた内容は、次のとおりです。

  • 日立製作所様、及び、日立グループ各社では、
    2021年10月11日12月13日以降、パスワード付ZIPファイルが添付されたメールは順次受信しない仕組みになる。
  • 日立製作所様、及び、日立グループ各社宛に
    2021年10月11日12月13日以降、パスワード付ZIPファイルをメールに添付して送信することは止めて、別の方法で送付するようにしてください。

・・・ってことです。

現在は、メール送信時の添付文書を、どうやって送信するか、多くの組織や団体ではセキュリティポリシーの名の元に決められた方法があると思います。

その最も多いのは、パスワード付ZIPファイル変換して、それを添付する。
・・・だと思います。

ZIP解凍のパスワード情報については、後追いメールで通知したり、電話で伝えたり、或いは、予め決めたパスワードを使用して処理していたり。

いずれにしても、パスワード付ZIPファイル へ加工して添付しているケースが多いと思います。

最近は、このような対応を「 PPAP処理 」と呼ばれる場合もあります。
これは、悪評を煽りたい意味も含まれていると個人的には感じています。

いずれにしても、国内の大手総合電機メーカーである、日立グループ各社が一斉に、パスワード付ZIPファイル付きのメールを受信しなくなる。

これは大問題です!!!
っていう企業や団体がたくさんあります!

だから、弊社にご相談をいただく状況なんですね。

——–

さて、それで、みなさんどう対応するんですか?

今日は、9月16日。単純に数えて、あと3週間ちょっと 約3か月弱 です。

あれこれ伺うと、この対応のために、オンラインストレージの仕組みやサービスを「導入・採用」する企業が多いとか。

これ、実際には現場でメールを使って仕事している方には、困った手段ですね。
現場に優しく無いです。

  • これまでは「メールに添付して送信」と行っていた仕事を、わざわざ相手に合わせて、オンラインストレージ側の操作に変更しないといけない
  • 本来だったら「メール作成して添付して送信すれば済む」事を、わざわざブラウザで、サービスにログインして、内容を作って送信
  • 日立様関連と他のドメインへ宛先を混在して送るメールだったものは、わざわざオンラインストレージ経由と、メールの2つに分けて送信
  • 苦労して手間を掛けて、オンラインストレージで送付した作業は、後から見直しするにしても、メーラの送信履歴には残ってない

こんな状況が簡単に想像できます。
後から困るやつです。

ちなみに、メールアーカイブシステムが運用されている場合、その送信記録にも残りません。後からの監査で確認が面倒になります。

メール送信の記録と、Web操作でのオンラインストレージの記録を、突き合わせて追いかける手間が増えますし、場合によっては、オンラインストレージの操作記録だけで、実際に送信したファイル自体は、保存されていない場合もあるかと思います。

そうなると、ファイル名だけで監査できるの?って話にもなります。

そんな後から、とっても面倒なことになるのが明白な環境です。

さらに言うと、今回の日立製作所様と日立グループ各社様の方針変更をきっかけに、さらに国内大手の企業や企業グループも同じ方向に切り替わるかもしれません。

すると、その対応で、日立製作所様関連ドメイン(これだけでもかなりの数ですが…)以外にも、同様の対応をするメール送付先が増えてきます。

この変化にも、全て、現場のメール書いている人たちが、自分で覚えて考えて対応する必要が出てきます。

これは、現実的な対応と言えません。

  • 間違いの元
  • 情報セキュリティ事故の原因

・・・になります。

——–

当社では、2019年12月25日から、添付ファイルの パスワード付ZIPファイルでの送信を原則廃止にしました。そして、添付ファイルはダウンロード方式で送信するようにしています。

お客様やお取引先様には、弊社からの添付ファイルは、ダウンロード方式にてお受け取りいただいております。

しかし、この仕組みを導入するに際して、オンラインストレージの仕組みを新たに導入してはいません。そして、社員に新たな操作負担などはありません。

当社では、safeAttach を導入しています。

これまでも当社から多くの企業に提供してきている製品でもありますが、当然、自社でも導入して利用しています。その結果、数々の運用ノウハウも出来ました。

img_20201026_safeAttach -1

当社のsafeAttach は、当社独自のクラウド基盤上に実装した safeAttach VPS で運用しています。
そして、同じ基盤で運用している safeAttach VPSsafeAttach EVS を、お客様にもご提供しています。

safeAttach の利用としては、ざっくり、以下のようになります。

  1. 今までどおりにメールを作成する。
  2. 送付する添付ファイルを、加工せずそのまま添付する。
  3. 送信ボタンを押して送信する。
  4. safeAttach に届く。相手先のメールアドレスや、添付ファイルの状況を確認して、予め設定されている条件に合わせて添付ファイルを処理する。
    (1) safeAttach 内のダウンロードサーバに 添付ファイルを移動
    (2) メールに、ダウンロード先の ワンタイムURL を追記
    (3) メールの相手先へ、メールを送信。
    (4) ダウンロードサイトへのアクセスパスワードをメールで自動通知
  5. 上記の処理を実施したことが、メール送信者に通知される。

という感じです。

( 個人的は、この後、メールの相手先が、添付ファイルをダウンロード操作していただた際に、safeAttach から「ダウンロードされました通知」が来るのも、ありがたい機能だと思っています。そう思いませんか?(笑) )

また同時に、メールの誤送信対策として、送信したメールの「一時保留」も実施しています。当社では、約3分のメール送信保留を実施しており、恥ずかしながら私も、この3分に「 “何度も” 救われて」います。

img_20201026_safeAttach -1

では、今回の日立製作所様と日立グループ各社様へのメール送信時の添付ファイルについて運用変更にどう対応するか。

2つの対応方法があると思います。

  1. safeAttach のサービスを早々に利用して、送信する添付ファイルは、原則全てダウンロード方式に変える。そして、もし相手先で「ダウンロード方式に対応が出来ない」場合は、その相手にだけ、パスワード付ZIPファイルで送信するか、又は、無加工の「平文」のままで送信するように設定して運用する。
  2. safeAttach のサービスを早々に利用して、日立製作所様や日立グループ各社様の取引関係にあるメールドメインを、safeAttach に設定して、送信するメール個別に、その宛先を safeAttach で確認。設定したメールドメインに対しては、ダウンロード方式にて送付し、それ以外の宛先には、従来とおりの方法で添付ファイルを送付するように「自動対応処理」を運用する。

どうでしょうか。

これであれば、仕事で多忙なメール作成と送信を、とっても便利に、そして間違いが発生しない仕組みで対応が出来るようになります。
もちろん、そのメールは、平文の添付ファイルが付いた状態で、メーラの送信履歴に残りますので、あとから見直しても漏れることはありません。

そして、メールアーカイブにも、平文のメールとして記録保存されるので、監査や検索結果を見る際にも、容易に内容を確認出来るようになります。

img_20201026_safeAttach -1

safeAttach VPSsafeAttach EVS は、この仕組みをサービスで提供します。

Microsoft365や、Google Gmail であっても連携対応出来ます。
サイボウズ、desknet’s NEO、Notes、などの色んなグループウエアも。
ISP のホスティングサービス(*1)やメールサービス(*1)であっても。

safeAttach VPSsafeAttach EVS は、連携が出来ます。

条件が整えば、2週間程度以内で利用も開始できます。

「日立製作所様、日立グループ各社様宛の メール送信対応」
さらには、
「メール誤送信対策」「PPAP対応策」「メール送信制御の導入」

こんなご要望は、safeAttach VPSsafeAttach EVS で解消できます。

(*1) ISP様の提供サービスの一部に safeAttach との連携が実現出来ない仕組みや環境があるため、ご利用になれない場合があります。

——–

当社は、safeAttach 製品を 10年以上 自社で実際に運用利用し、そしてお客様にも提供している 正式販売代理店 です。

この機会に、是非、safeAttach を導入して、日立製作所様・日立グループ各社様の対応だけで無く、これからのメール送信の現場の利用負担軽減と、組織としてのメール送信時に想定されるリスクマネジメント対策として、当社の safeAttach VPSsafeAttach EVS を導入ください。

まずは、お気軽に、当社へお気軽にご相談ください。

#電子メール #電子メール添付ファイル #日立製作所 #日立グループ各社 #2011年10月11日 #PPAP対応 #PPAP対策 #PPAP回避策 #safeAttach #メール誤送信対策 #オンラインストレージ #ダウンロード方式 #添付ファイルダウンロード #運用ノウハウ #safeAttachEVS #safeAttachVPS #クラウドサービス

(Vol.122)

------------------------------------------------------------------------------------------------
Copyright(C) 2012,2025、スワットブレインズ 掲載記事の無断転載を禁じます。

メールとファイルとWebの無害化。無駄無くまとめる新提案

2021年9月10日

このタイトルの話題、今の時点では、自治体様向けの話題が中心であることは間違い無いのですが、この考え方は、いずれ民間企業でも広く導入されていく仕組みだろうと感じています。

2017年度に全国全ての自治体で、導入された「無害化」は、2020年12月に改訂された、総務省の自治体情報セキュリティ対策のガイドライン​​​​​​でもキーワードとして引き続き注目されています。

5年前、「無害化」は新しい考え方として注目されました。

その際「なんだそれ?」「何がどうなるの?」と話題になり、そして、自治体を担当するシステム提案・運用の企業関係者は困惑しました。

無害化=電子ファイルを消毒する考え方。

ざっくり言うと、マルウェアやウイルスなどに感染した状態の電子ファイルを、感染状態が「無い」状態にし安全にする仕組み。アンチウイルスの仕組みのように「悪い部分を探して駆除」する仕組みとは異なり、悪い部分が「実装される部分」を “丸ごと書き換えて安全にする” 仕組みです。結果として、消毒が済んだファイルは、安心してファイルを開いて仕事で使うことが出来るようになります。

この仕組みを、実現するのが「Votiro Disarmer」です。
「ボティーロ」「ヴォティーロ」など色々呼ばれました。

banner_votiro

当時、この新しい仕組みを実装するのに、全国各地のSIer は苦労しました。
担当するエンジニアのみなさんは、他にもやるべきことが多い中で「無害化」を実装するのにご苦労されたと思います。

その結果、ノウハウが少ない SIer や エンジニアが実施したサイジングに乱れがおきました。

悪い言い方だと「とりあえず入れて使えたらいいでしょ?」という着地点もあったように思います。
これは、後に自治体様からの相談を受けて、システム構成・サーバスペックを拝見して気付きました。
残念ですが、時間が無い中で、よく判らない仕組みだった「無害化」について、こんな対応をしてたんだ…と。

さらに、エンドユーザ様になる自治体の職員の方々から、

  • 無害化処理が遅くて、そのせいで自分の仕事が進まない
  • これまで使っていた書類が、マクロ削除されて使えなくなった
  • 仕事の作業工程が増えてしまって、面倒だし間違いやすい
  • 無害化が出来ないファイルもあって、仕事が詰まってしまう

・・・などなど

当社は、Votiro 製品の正式な販売代理店として、多くの自治体様向けに Votiro 製品を提供してきましたが、その中でお聞きした内容です。

弊社にご相談をいただいたり、お問合せをいただいた 自治体様や 自治体様担当の Sier 様には、想定される原因を解説し対策案をご提案してきました。

そして、今年は、そのシステムを更改する時期が来ました。

banner_votiro

2020年以降、新型コロナウイルス感染症の拡大により、様々な ITの改変があったり仕組みの見直しが求められています。その中には、コスト的な面も含まれています。

当社は、Votiro 製品を長く提供してきた経験から、新しいVotiro Disarmer製品の実装方法を工夫した提案を開始しました。

  • Web分離、WEBサイトアクセスの無害化
  • メール無害化、メール添付ファイルの無害化
  • セグメント間のファイル交換時に必要なファイルの無害化

これらの「無害化」の仕組みは、2022年度に向けて刷新される仕組みになります。

この仕組みに対し、多くのシステム提供会社は「実現する機能単位」で提案されるモデルが多いようです。

つまり、「メールの無害化は、この製品で出来ます!」「Web分離は、この製品で」「ファイルの無害化はこの製品で実施しましょう!」と。すると、お客様は、使うシーンに合わせて、個別の製品と個別の実装で検討することになります。

これは、間違いでは無いのかもしれませんが、当然コストは増えます。
いや、これは、これまでの正当な紹介と提案なので、間違いではありません。

しかし、当社では、この提案を改善したいと考えました。
これまでのVotiro 製品の提案と導入してきた実績から、他に無い喜ばれる提案を探しました。

背景には、Votiro 製品は、ちゃんとした無害化が出来ることは判るが費用が高い。値段が高い。
という、コスト観点の指摘があったからです。

日本に限らず、世界中の情報セキュリティの仕組みの中で、Votiro 製品は数多く採用されています。
そして、決して価格は日本だけが高額で提供されている訳ではありません。

しかし、Votiro Disarmer製品が実現している仕組みと機能は、他の「無害化」を語る似たような事が出来る製品とは各段に異なります。そして、その機能を実現するために、多くの特許を含め、無害化対象となるファイルの仕組みを正式に知るためマイクロソフト社や、各ファイルのメーカと契約を結び、間違いの無い情報を確認して、適切な無害化を実現しています。そのための投資は、決して安くはありません。

ファイルの無害化を100%実現するための製品として、その性能と品質を実現してきた結果であることをご理解いただきたいと思います。

また、日本国内に提供されているVotiro Disarmer製品は、その価格の課題を解決するために改善が行われてきました。製品自体の性能向上も含め、特に自治体様向けの製品提供では、優遇する仕組みも用意されています。

Votiro Disarmerの自治体様向け優遇対応については、Votiro 製品の正式代理店である弊社にお問合せください。

さらに、その背景を踏まえて、当社では無駄の無いコストパフォーマンスが活かせる仕組みを提案しています。

banner_votiro

この記事を書いている時点( 2021/9/1 時点 )では、既に、その効果に理解をいただき、複数の自治体様に採用していただき仕様書に記載いただきました。 ご注文をいただいた自治体様案件もあります。

値段が高い!と言われてしまっているVotiro Disarmer製品を、無駄なく使い切る実装プラン。
Web分離、Web無害化、メール無害化、メール添付ファイルの無害化、そして、ファイルの無害化。
これらの仕組みを、1つの「無害化処理グループ」と考えて、それぞれが連携し、無害化を実現する仕組み。

当社では、その仕組みの提案を推進しています。

今、まさに、2022年度向けの提案の内容を検討している!
2017年度の課題を解決し、コスパの良い無害化の仕組みに変えたい!

そんな自治体様や、SIer 様は、是非、当社にご相談ください。
既に新しい提案の内容は、今の時点で、実績がある…という状況です。
仕様書に記載されて、プロポーザル提案に対応いただく システム会社様からの注文も入っています。

弊社は、自治体様向けに「無害化」を実現する Votiro Disarmer製品 だけで無く、メール無害化を実現する製品もご提供しています。

  • Active! Zone
  • DEEP Mail

です。

こちらの製品とのコラボについては、また別途。

まずは、様々な無害化のシステム構成について、ご興味はありませんか?
総務省が示す、ファイルの無害化を 正当に実現している製品 Votiro Disarmer は、どこから買えば良いか?
誰に相談すれば良いか? 普段見積りを依頼して発注している 単なる購買口では手に入らない情報や、特別な提供条件は、正式な販売代理店に相談しましょう。

当社は、Votiro Disarmer 製品を5年以上対応している 正式販売代理店 です。
お気軽にお問い合わせください。

#無害化 #自治体 #Votiro #消毒 #Web分離 #Web無害化 #メール無害化 #メール添付ファイルの無害化 #ファイル無害化 #LGWAN #コスト削減 #効率改善 #情報セキュリティ #ネットワーク分離 #セキュリティ強靭化 #自治体セキュリティクラウド #2022年更改 #2021年提案 #予算 #予算検討 #新規提案 #DEEPMail #Active!Zone

(Vol.121)

------------------------------------------------------------------------------------------------
Copyright(C) 2012,2025、スワットブレインズ 掲載記事の無断転載を禁じます。

PPAP と呼ばれる メール添付ファイル パスワード付ZIPファイル送信 の話題と対策

2020年11月26日

先日、多くの報道で…

「平井卓也デジタル改革担当相は11月17日の定例会見で、中央省庁の職員が文書などのデータをメールで送信する際に使うパスワード付きzipファイルを廃止する方針であると明らかにした。」

…がニュースとして扱われて、一気に話題のキーワードとなった。
「PPAP」という新しい言葉になって。

そして、セキュリティの「専門家」と言われる人たちが一気にあれこれと発言するようになった。

  • 私は以前からセキュリティ観点では問題だと言っていた。
  • こんなPPAP方法はナンセンスだ!間違いだ!
  • どうしてパスワード付ZIPファイルの運用になったのか。

などなど。

過去…2003年5月に、個人情報保護法なるものが成立したときに、多くの「専門家」と言われる方々は、こぞって「メールが危険だ。添付ファイルを安全に送信する仕組みが必要だ」と言って、パソコンのデスクトップ上で”手作業”でのファイルの暗号化変換を推奨したではないか。

私も当時、都内の色んなセミナーでそれを聞き、多くの仕様書上でもその仕組みを必須と定め、色んなメールシステムのベンダーはそのニーズに応えるために、製品や仕組みを開発した。

それが、ここに来て、平井大臣の発言を元にして急に話題となり、専門家とかセキュリティの関連団体が、「そもそも推奨していない。そんな事は言って無い」と言いだした。

この20年あまり、この手の仕事をしている1人として、とっても疑問に感じた。

ちょっと整理したい。

そもそも、平井大臣の発言は最初から「セキュリティ」の観点に沿っているのだろうか。

まず、平井大臣の発言の全文を完全に聞いて理解していないことと、平井大臣の公式サイトにも、それについての記事が見当たらない。
https://www.hirataku.com/
…ので、間違ってるかもしれないが、話題を整理したい。

今の時点で、ネット上に残っている同話題の記事を読み返すと
・デジタル改革アイデアボックスに投稿されたアイデア・意見から、PPAPの廃止を平井大臣が即断。
…と報じられている。

デジタル改革アイデアボックス…は、
https://ideabox.cio.go.jp/
内閣官房 IT担当室が主催し運用され、一般市民・IT業界・自治体職員・省庁職員・その他…のカテゴリーに分けて意見を投稿できる仕組みとされている。

そして、今回のPPAPの話題は、ハンコ撤廃 と同列の話題として発言されている。
パスワード付ZIPファイルをメール添付して送付することは、役所のハンコの事と同列として扱う観点なのか?

…そこで感じたのは「手間がかかること」「めんどくさいこと」「無くても良いかも?」の観点で論じられたのでは無いかと。

私もこの業界で長く仕事している者だが、メールに添付して電子ファイルを送る際に、事前の準備として平文の電子ファイルを、デスクトップ上で、何かツールを使って、パスワード付ZIPファイルに変換する操作を行い、作成したZIPファイルは、平文と同じファイルサーバのフォルダの中に入れ(後で困らないために)、それから作ったZIPファイルをメールに添付して送信する。。。。ってやってた。
これ、当時は「やらなきゃいけないこと」として、やってた。

これを、1日に、何回・何十回もやってたら、それは大変です。
大変だけど、今回のわーわーと言いだした人は、それをやってて「嫌だった」から【こんなこと 辞めたい!】となった。

つまりセキュリティでは無い。
「手間がかかる」ことをやってる。「めんどくさい」ことであり「こんなことしなくても良いのではないか」と考えた。のが最初の話題。
・・・じゃないかな?

そういう観点であれば、それは理解する。 そりゃめんどくさいですよ。
でも、その手間を、改善することは、もう10年以上前からツールで提供されている。
弊社でも提供している。例えば、safeAttach という製品。
弊社でも利用している。
これがあれば、何も面倒では無い。手間もかからない。

例えば、1つの電子ファイルをデスクトップ上でパスワード付ZIPファイルに変換するのに、パスワードを考える時間も含め、約1分かかったとする。
その作業を、平均的に1日、10回実施したとする。
そして、その作業を行う人が、組織に500名居たとする。
あくまでもざっくりした計算だが、1日に 約5,000分、つまり約83時間余りをパスワード付ZIPファイル作成時間に掛けている。となる。
仮に、時給1,500円(月給20数万円程度)に換算すると、1日に124,500円のコストを費やしてるという言い方にもなる。月に約250万円である。

確かに、これは勿体ない!

弊社にご相談いただければ、このコストをカットして、かつ、メール送信時のあれこれストレスさえも「完全にゼロ」にする方法を提案します。

さて、そういう「作業・業務上の無駄、コストの削減」を考える上でのパスワード付ZIPファイル 変換処理は、単に、便利でコスト削減もストレス削減もできる仕組みがあるのに、それを導入しなかっただけ。
・・・と言いたい。

重要な個人情報を守る方法として、当時、人が手を掛けて対応するパスワード付ZIPファイルへの変換作業は、個人情報を守るための「強い意識付け行為」とさえ考えらえていたと思う。
そうでもしないと、電子メールの「配送の仕組み」なんて知らないメール利用者のスキルに、個人情報を守る意識を埋められなかった。
そして、ほとんどの人が「めんどくさい・じゃまくさい」と思いながら運用した。

それから月日は流れ、ITの仕組みは進化した。
パソコンでメールを始末するメールソフトは、メール作成の際に手間を削減するため「送信宛先アドレスの入力支援機能」が発達し漢字の名前、ひらがな、ローマ字の文字を入れると、アドレス帳に登録されている人の情報から、早々に入力設定してくれるようになった。
これは便利だった。そして、間違った人の宛先を「指定してしまう」ことが増えて、その結果、メール誤送信 が頻発するようになった。

メールは、メールソフトで作成し [送信]って操作したら、即時に処理されて僅かな時間に相手に届いてしまう。
「あ!間違った。その〇〇さんじゃない!」って気付いた時には遅い。っていうメールの誤送信が発生しやすくなった。

パスワード付ZIPファイルは、この事故に対し、一定の割合で救済の役割を果たした。
それは、後から通知(通告)する「パスワード情報を知らせない」事によって、間違って・誤って送信したメールの添付ファイルの中身を違う相手に見られることが無い状態を作ることが出来た。

この事故。誰にも言わないだけで「そうそう…」と思っている人は多いはずだ。
私もそうだから。

パスワード付ZIPファイルは、メール送信の人間のミスを救済してくれるという本音の側面もある。
あんまり言われないけど。 あ、言えないのか(笑)

※メール誤送信は、セキュリティ事故扱いだった。だから…内緒だ(苦笑

また別の観点で「通信経路上の盗聴」に対する話題があった。
パスワード付ZIPファイルは、メールが平文でインターネット上を配送される仕組みの中で、個人情報を守る手段として優れていると説明された。
しかし、数分の時間が過ぎてから、同じ経路でパスワードが記載されたメールを送ってたら、それも盗聴される。って、よく言われた。
これについては、人によって言い方が違った。「盗聴している人に見られる」「1秒の間に数多い情報がある中で、数分もずれたらパスワード見ても一致させることなんてできない」とか。

当時、パケットキャプチャ製品を売っていた私としては、意味がないことは判っていた。だけど、既に、個人情報保護や機密情報保護の観点として一定の「市民権」を得ていた パスワード付ZIPファイルのメール送信について、特にそれ以上の不満を持たなかった。
結局、誤送信対策として効果はあったし。

さらに、それから時間が過ぎた。
そしたら、ここまで書いてきた時代からは、違う時代がやってきた。

サイバー攻撃の手段として、サーバへの直接アタックだけでなく、メール添付ファイルに細工をして攻撃する手段が増加した。

…この攻撃は、多くの場合、端末のOSや業務で使用するアプリケーションの脆弱性を突く攻撃であるため、最新版にアップデートすることで被害に遭わない環境を作って回避できる。しかし、「OS・アプリ」の最新版へのアップデートは、時に業務アプリの邪魔となり、簡単に実施出来ないことが判った。また、端末利用者は、アップデートがめんどくさいので行わないこともある。
さらに、脆弱性が判明してから、アップデートが出来るまでの時間が生じてしまって「ゼロデイ攻撃」を受けることも心配された。

そこで、多くの組織は「ゲートウェイ(組織の入口)」で、外部から届くメールを「一斉・一括検査」することを考えた。端末に届く前に、不審・不信なメールとメールの添付ファイルを検査することを考えた。

そしたら、メールの本文は平文として検査出来たが、添付されているファイルはパスワード付ZIPファイルであるため、内容を確認出来ないことが判ってきた。

あ、これ、アカンやん!
パスワード付ZIPファイルは、検査出来ない!!

そういう認識が広がってきていた。
ランサムウェア・標的型攻撃メール という言葉が広がるのと同時に。

長年に渡り、個人情報・機密情報を守るために、手間をかけて実施してきた「パスワード付ZIPファイルを添付ファイルとしてメール送信する」は、一気に見方が変わった。

つまり、メール送信者側の「都合・理由」から、メール受信者側の「都合・理由」の観点に変わってしまった。
そして、それがごっちゃになって報じられる。

そして、現代。今のタイミング。
新型コロナウイルス感染拡大防止の呼びかけに対応するため、急速に広まったテレワーク。これまでのLANケーブルにつながった、オフィスの机上パソコンで読書きしていたメールは、社外で、タブレット端末やスマートフォンなどでまずは、メールを読み自分に届いた情報を確認することが増えた。
その結果、パスワード付ZIPファイルを受信することについての「文句」が増えてきた。

  • パスワード付ZIPファイルが解凍出来ない。
  • 解凍出来ないのに、受信はしないとダメなので通信時間が掛かるし、パケットも消費する。テザリングだと通信量が気になる。

…など、新たな「文句」になってきた。

これも、メール受信者側の「都合・理由」だ。

メールは日常業務の中では、いまでも基幹業務ツールの1つ。
簡単には変えられない。将来は別の方法になるのかもしれないけど。

つまり、パスワード付ZIPファイルをメールに添付して送付し、パスワード情報を後からメールで知らせる方法は、工夫して生まれた方法なのに、新型コロナウイルスによって、もたらされた「新しい仕事スタイル」では、受信側にとって邪魔になってきた。

さて、どうする?
最近見た、某公共の仕様書のメールシステムの要件には

  • メールの添付ファイルを外部へ送信する場合は、その添付ファイルは〇文字以上の〇種の文字をランダムに組み合わせたパスワードでZIPファイルに変換すること。

・・とか規定されている(笑)
まぁ、これは、変更されるかもしれないけど。
平井大臣の発言があったから。

専門家…という人達は、

  • S/MIME(Secure / Multipurpose Internet Mail Extensions)方式にすればいい。
    (電子メールのセキュリティを向上する暗号化方式のひとつで電子証明書を用いてメールの暗号化とメールへ電子署名を行う仕組み。送受信のメーラでの対応が必要)
  • オンラインストレージを使ってファイルを送ればいい。

・・・とか言ってる感じ?

ついに、S/MIME!! 証明書屋さん、追い風が来た!?
証明書運用するための費用が新たに必要になりますしね。

これずいぶん前から、言われていた方法です。現代ではメール送受信するためのメーラは、Webメールの仕組みも、S/MIME 対応が出来るようになっているので確かに、これは有効かもしれないですね。
それぞれメーラなどの設定は必要にはなりますが。

でも、メールの誤送信対策には、無意味ですけど。

次に、オンラインストレージ!!
これ、今の時代だからこそ言える言い方か。
ホントに、これに切り替えられる?

この手の仕組みは昔からあった。 例えば、宅ふぁいる便 とか。
でも、そこまで一般に浸透しなかった。
大容量のファイルの時だけ…とか、一定の「仕方がない」のときだけ利用されていたからだと思う。

ちなみに、先見のある企業や組織では「自分でその仕組みを持つ」という姿勢で運用されていた。弊社でも【デジ急便システム】にて、それをご支援してきた。でも、それは特定の…つまり、大きなファイルサイズの
時に使うことがメインとされてきた。

それは、なんで?
インターネットを使って、自分が誰かに情報を送るのに適しているのはメールだから。そして、記憶から消えた以前のやり取りは、自分のメール送信履歴から探す運用が、なんとなく普通になってるから。

例えば、3年前、とある相手に提案書・見積書を送った。
誰にだっけ? あれ、どんな背景があったっけ? あー、メール本文にあれこれ書いたな。提案書送ったメール見たら思い出せるな。
・・・ってなりませんか?(笑)

つまり、メールの送信履歴って、仕事の中では、備忘録になってる。
そういう運用が今のところ主流かと思う。
だから、ファイルを送る時だけ、オンラインストレージを使う。って
多くの人に戸惑いを与えて、混乱し、作業を間違う元になる。
メール送信履歴には、その送信内容は残らないから。

少なくとも、急いで切り替えたら、また情報システム部門の人達は教育や運用、トラブル対応手順などを考えて運用するのも大変!!
余計に業務が増える。ストレスも増える。
それで無くても、情報システム担当部門は人が減ってるのに。。。

対策どうします?

ご相談ください。
safeAttach Evolutionをご提案します。safeAttach は、解決します。
『メール送信時の「お作法」を自動化処理します。』が方法です。

例えば・・

  • メール送信時、送信者は、何も心配せずに「平文」のファイルをメールに添付してください。
  • 相手が官公庁・自治体など宛のメールは「平文」のままで相手に送信します。
  • 相手が、〇MBまでしか添付ファイルを受け付けない場合は、safeAttach に内蔵されるダウンロードサーバに、添付ファイルを自動的に切り替えて送ります。
  • 添付ファイルはパスワード付ZIPファイルをセキュリティポリシーと決めている相手には、パスワード付ZIPファイルで送付します。
    但し、解凍パスワードの伝え方は、追いかけメールで伝えるか自分にだけ届いて、電話やSMSなど別の方法で伝えるかを選択することが出来ます。
  • メール送信操作後、指定した〇分間、メールを止めて待ちます。
    もし、あ!間違えた!って時は、送信者本人がメールをキャンセルすることが出来ます。
  • 相手が、タブレット端末やスマホでメールを読む人だったら、safeAttach に内蔵されるダウンロードサーバに添付ファイルを自動的に移して、ダウンロード用URLをメールで伝えます。
    相手は、無駄なパケットを使う事無く、自分の都合に合わせて必要なタイミングで添付ファイルをダウンロードできます。
  • パスワード付ZIPファイルが添付ファイルとなっているメールは受信しません!って宣言している相手向けには、ダウンロード方式にして送信します。

・・・これ、一定のお作法ルールと考えると、それを自動的に処理する仕組みを採用したら良いだけです。そして合わせて誤送信対策もできるようにすれば、メール送信する人のストレスは大きく軽減されます。

メール送信する人のITの専門的な知識なども問う必要はありません。
詳しい人も、詳しくない人も、楽に安心してメール送信できます。
メールの送信簿…送信履歴には、添付されたファイルは全て「平文」になるので、備忘録としても使い勝手が良いものになります。

・・・これ、アカウント数に依存しない形で提供します。
つまり、メールアカウント数課金では無い形で利用出来る仕組みです。
メールアカウント数によって、費用が変わる状況では予算も作りづらいですよね。 safeAttach Evolution なら大丈夫です。

Microsoft365(旧O365)や、グループウエアを利用している環境でも使えます。オンプレミスのメールシステムでも大丈夫です。
ISPのメールサービスを利用している環境でも大丈夫です。

仕組みは、専用のオンプレミス向けアプライアンスサーバタイプ以外にも、仮想マシン向けのタイプ。そして、クラウド提供タイプもあります。

お気軽にご相談ください。
パスワード付ZIPファイルが何も悪い訳ではありません。
時間が過ぎて、仕組みが多様化して、セキュリティ問題の課題も増え使い方を変えないといけない・・・ってことです。

今のメール環境を使ってメールを送信する人の環境を大きく変えるとミスや間違いが増えます。間違いが増えます。そしたら結果的に時間工数もコスト工数も増えてしまいます。

そんな事にならないように想定した仕組みを考えましょう。
弊社は、safeAttach Evolution をオススメします。

ご相談ください。
今のメール環境に合わせた導入プランをご提案します。
ご紹介資料:safeAttach Evolution VPSサービス

#メール #添付ファイル #PPAP #パスワード付ZIPファイル #暗号化
#S/MIME #メールセキュリティ #オンラインストレージ #セキュリティ
#PPAP対策 #ランサムウェア #標的型攻撃 #標的型攻撃メール

(Vol.120)

------------------------------------------------------------------------------------------------
Copyright(C) 2012,2025、スワットブレインズ 掲載記事の無断転載を禁じます。