重要なファイルを何らかの形で送信する際には、パスワードを設定して暗号化をすることが必要です。しかし、パスワードを設定してZipファイルを暗号化する、いわゆるPPAPだけではセキュリティ面でのリスクがあります。今回は、ファイル送信サービスのセキュリティについて紹介します。

ファイルの暗号化はなぜ必要？

ファイルの暗号化とは？

ファイルの暗号化とは、送信ファイルにパスワードを設定し、受信者がパスワードを入力しなければファイルを開けないようにすることです。ファイルを暗号化する一般的な方法としては、パスワード付きZipファイルを送信し、パスワードを別メールで再送する「PPAP方式」があります。

• P＝Password付きZip暗号化ファイルを送ります
• P＝Passwordを送ります
• A＝暗号化します
• P＝Protocol（プロトコル＝手順）

しかし、PPAP方式はセキュリティの脆弱さが指摘されており、廃止が検討されています。

情報漏洩の防止

ファイルの暗号化は、情報漏洩を防止する観点から非常に重要です。企業間でのファイル送受信においては、重要機密や個人情報をやり取りすることも多いのではないでしょうか。その際、重要機密が含まれたファイルをそのまま送信してしまえば、送信経路が盗聴されていた場合は簡単にファイルの中身を見られてしまいます。しかし、ファイルにパスワードを設定しておけば、ファイルが盗まれたとしても中身まで簡単に見られる心配はありません。また、ファイルの暗号化は、自社が情報セキュリティ上のコンプライアンスに配慮していることを他社に示し、信頼してもらうことにもつながります。

誤送信によるリスクを低減する

企業におけるメールでのファイル送信は絶対数が多いため、誤送信が発生するリスクも必然的に高くなります。しかし、ファイルの暗号化により、誤送信のリスクも低減することが可能です。宛先を間違えてファイルを送信してしまった場合でも、別送するパスワードの宛先さえ間違わなければファイルが開かれることはありません。
ただし、PPAP方式のファイル暗号化では、誤送信リスクを完全に排除できるとは言い難いです。この点については、後の項で詳しく解説します。

パスワードを設定してもリスクは付きまとう

送信ファイルにパスワードを設定すれば安心というわけではありません。理由は以下の3点です。

1. セキュリティスキャンの問題

2. 誤送信によるリスクは避けられない

3. パスワードは解析される可能性がある

セキュリティスキャンの問題

パスワード付きZipファイルには、メールサーバ側で導入しているウイルス対策ソフトのセキュリティスキャンをすり抜けてしまうという問題があります。一般的なウイルス対策ソフトはZipファイルを解凍して中身をスキャンしますが、Zipファイルにパスワードが設定されている場合、ウイルス対策ソフトはファイルを解凍できません。つまり、添付ファイルにウイルスが潜んでいても検知システムで止めることができず、受信者のパソコンがウイルスに感染してしまう危険性があるのです。

誤送信によるリスクは避けられない

添付ファイルを暗号化してパスワードを別送する「PPAP方式」では、誤送信によるリスクを完全に排除するのは難しいと言えます。
ファイルを添付した1通目のメールでは、添付ファイルは暗号化されていてもメールの本文は暗号化されていません。誤送信に気付いてパスワード（2通目）を送信しなかったとしても、1通目だけでファイルの中身を推測される可能性があります。加えて、PPAP方式では1通目と2通目を同じ宛先へ作業的に送信する人がほとんどです。そのため、1通目を送った後で誤送信に気付くケースはかなり少ないと考えられます。
また、送信者の手間を削減するにするために、添付ファイルのZip暗号化とパスワードの発行・送信を自動化するシステムを導入している企業も多いです。このシステムを使っている限り、添付ファイルの送信先を誤ればパスワードも自動的に誤送信してしまうため、情報漏洩は避けられないでしょう。

パスワードは解析される可能性がある

ファイルの暗号化が抱える最も大きな問題点は、「パスワード付きZipファイルで暗号化しても、簡単にパスワードを解析される可能性がある」という点です。一般的なパスワード付きZipファイルの暗号強度は、実はそれほど強くありません。Zipファイルによく使用される「ZipCrypt」という暗号化方式のパスワードは、有名な圧縮・解凍ソフトである「Lhaplus」などを使えば誰でも解析できます。つまり、通常のパスワード付きZipファイルであれば、パスワードを別送するしないにかかわらず、常に情報漏洩リスクと隣り合わせなのです。

ファイルを安全に送信するなら「eTransporter」

以上のように、パスワード設定によるファイルの暗号化は、ファイル送受信におけるリスクを完全には排除できません。そこでおすすめしたいのが、法人向けファイル転送システム「eTransporter」です。eTransporter であれば、企業間のファイル送受信を簡単・安全に行えます。ファイルを送受信する具体的な流れは、以下の通りです。

1. 送信者：メールにファイルを添付し、eTransporterに送信する
2. eTransporter：メールサーバで、メール本文と添付ファイルを分離
3. eTransporter：添付ファイルをeTransporterのサーバに保存する
4. eTransporter：メール本文にファイルのダウンロード用URLを挿入し、受信者に配信
5. 受信者：URLからファイルをダウンロード

ファイルとパスワードを同じ通信経路で送信するPPAP方式とは異なり、受信者はeTransporterのサーバに保存されたファイルをダウンロードします。そのため、通信経路の傍受によりファイルを盗まれる心配がありません。「サーバ上にファイルが残り続けるほうがリスクだ」と思われるかもしれませんが、ファイル公開期限を指定したりダウンロード回数を制限したりできるため、セキュリティ上も非常に安心です。
また、eTransporterでは、誤送信対策として「ファイル送信内容の確認」ができます。送ったファイル・宛先・送信されたメールの内容・セキュリティや制限内容などが一目で確認できるため、万が一誤送信してしまった場合でもいち早く気付くことが可能です。送信を取り消したい場合はユーザー自身でファイルを削除できるため、誤送信による情報漏洩のリスクを低減できます。

無料トライアルもございますので、まずはお気軽にeTransporterまでお問い合わせください。

まとめ

ファイル送信の際にパスワードを設定することは、有効なセキュリティ対策のように思えます。しかし、実際はさまざまな問題を抱えているため、「ファイルにパスワードさえ設定しておけば安心」という考えは捨てたほうがよいでしょう。政府の方針により、「パスワード付きZipファイル」の送受信は廃止の方向に向かっています。企業間において、より安心・安全にファイルの送受信を行いたいのであれば、法人向けのファイル送信サービスを使うことがおすすめです。