Boxを活用したPPAP・ランサムウェア対策 クラウドストレージで問題解決

「身代金型」のマルウェア、ランサムウェアによるコンピューターの被害が拡大している。様々な組織でメールのセキュリティ対策として使われてきた「PPAP」だが、リスク回避のため廃止の流れにある。次のセキュリティ対策を考える際に、Boxのクラウドストレージ活用が候補に上がってくる。

日下 浩之 Box Japan ソリューション エンジニアリング部
シニア ソリューションズ エンジニア

PPAPはメールによるファイル送受信のセキュリティ対策として、国内の公共機関や企業で実践されてきた。その手順には、なじみのある読者も多いだろう。まずファイルをzip形式で圧縮し、暗号化してパスワードをかけた上でメールに添付して送信する。そして、その後に別のメールでパスワードを送信する。しかし、2020年11月には、当時の平井卓也デジタル改革担当大臣が内閣府や内閣官房でPPAPを廃止する方針を打ち出すなど、廃止の動きが広がっている。

メールのセキュリティ対策
「PPAP」の3つの問題点

コンテンツクラウドをリードするBox, Inc.の日本法人、Box Japanの日下浩之氏は「PPAPの問題点は、大きく3つあります」と指摘する。第1に、メールには盗聴のリスクが存在する。「メールは送る側と受け手の間でインターネットを通りますが、その際、暗号化されずに平文で通ることもあります。その場合、経路上でパケットを盗聴されれば、ZIP暗号化したファイルを送るメールも、後から送るパスワードのメールも読まれてしまいます」。

図1 クラウドストレージによるPPAP・ランサムウェア対策

クラウドストレージを介したファイルの共有は、PPAP・ランサムウェア対策としても有効

 

第2の問題点は、ウイルスに対する耐性が弱くなることだ。「メールのウイルス対策ゲートウェイやセキュリティ製品は、人の手でZIP暗号化されているとウイルス検査で中を読むことができません。仮に攻撃者が取引先などのふりをしてウイルスが入ったファイルを送ってくれば、検知できないのです」。

第3に、PPAPによる送受信は送信や開封に時間を要し、生産性が低下する。また、メールでは大容量ファイルを送信できないことから、ファイルが大容量の場合は、他の送信方法が必要になる。

メールに関する既存のセキュリティ対策には、電子署名を使って本人確認するS/MIMEという仕組みがある。しかし、これを使う場合はS/MIMEの検証ができるメーラーを相手側にも入れてもらう必要があり、他の職場の人にそれを求めるのは困難だ。

「他にはメールに頼らず、ウェブ型のファイル交換サービスを使う対策も考えられますが、外部の業者のファイル交換サービスのセキュリティが、自組織内のセキュリティポリシーに準拠しているかどうかはわかりません。また、それを職員が使う場合、いつ誰がどのファイルを誰と共有したのかを、確実に確認できる監査性や追跡性があるかといった問題もあります」。

Boxの共有リンクで
PPAPの問題点に対処

これらの問題に対し、Boxのクラウドストレージは解決策を提供する。まず、クラウドストレージでは、すべての通信が例外なくSSL暗号化されるため、盗聴されることはない。

ファイルを送る際は、まずログインし、ファイルを送るためのフォルダを用意して、送りたいファイルを準備する。そして「共有」という部分をクリックすれば、ファイルに1対1で対応したランダムな共有リンクが表示されるので、これを相手に送る。「ファイル自体を送信するのではなく、その参照点を相手に送るという点がPPAPとの大きな違いです。受け取った人は、Boxのアカウントを持っていなくてもファイルを閲覧できます」(日下氏)。

その際、有効期限を設定して、その期間だけ相手がファイルにアクセスできるようにしたり、予め相手との間で決めたパスワードを付けることもできる。パスワードを付ければ、仮に共有リンクを別の人が入手した場合でも、ファイルを見られることはない。

一方、相手にファイルの編集もしてもらって双方向でコミュニケーションしたい場合は、相手にもBoxアカウントを持ってもらえば、一緒に作業するフォルダに招待できる。招待する際は7つある権限の中から、編集や共有、プレビューといった必要な権限を選び、相手に与えられる。逆に、現場でファイルを見る権限だけ与えたい場合は、見るだけの権限も選択できる。これらの権限は必要に応じて、後から昇格や降格もさせられる。

さらに自分がファイルを受け取る場合は、相手がクラウドストレージのアカウントを持っていなくても、ファイルのリクエスト機能を使って受信できる。「ファイルを受け取りたいフォルダの中でリンクを作ると、受け取り専用のランダムなURLが生成されるので、それを相手に伝えます。相手がそのURLを開くとアップロードの画面が出てきて、大容量のファイルを沢山送ることもできます」。

他には、クラウドストレージ上でメタデータといわれるファイルの付帯情報も付けられる。「相手がファイルをアップロードする際に、予め一意な情報を付けてもらえば、受け取った後に検索でファイルを探すこともやりやすくなります」。

ランサムウェアは動的に検知
暗号化前のバージョンも保存

コンピューターのセキュリティでは現在、国内でも被害が深刻化しているランサムウェアへの対策も重要になっている。ランサムウェアは標的型メール攻撃で偽サイト、もしくは不正なメールの添付ファイルをパソコンで開かせて感染させる。ランサムウェアは感染すると、パソコンの中を調査しつつ、ユーザーが開きたくなるような名前のファイルをファイルサーバーに置いて開かせ、「子分」を増やす。そして少しずつファイルを抜き取り、それらのファイルに暗号をかけてロックする。さらに、パソコンを感染前の状態に戻すことと引き換えに金銭を要求する画面が表示される。

「ランサムウェアへの対策も、Boxを活用すれば徹底できます。ランサムウェアなどのマルウェアは、クラウドストレージ側でも動的に検知できます。検知した場合は、自動的にそのファイルにロックをかけて二次被害や拡散を防止します」と日下氏は利点を指摘した。

さらにランサムウェアがファイルを大量に抜き取ろうとした場合には、人工知能(AI)で検知して管理者に知らせる。仮にファイルが暗号化されても、クラウドストレージならバージョン一覧で過去のバージョンに戻すことができる。「Box ではこれらのセキュリティ対策強化だけでなく、情報共有全体の効率化も実現できるので、ぜひ導入を検討していただきたいです」。

 

お問い合わせ先


株式会社Box Japan
総合サイト:https://www.boxsquare.jp/
導入に関するお問い合わせ:https://www.boxsquare.jp/inquiry

この記事に関するお問い合わせは以下のフォームより送信してください。