
- エンドポイントセキュリティ
- ID管理
- 認証
特権ID管理もクラウドサービスで!選べるiDoperation Cloud(SaaS版)とパッケージ版
従来のパッケージ版に加え、クラウド版もリリースしたiDoperation。高い可用性が求められるサーバーの特権ID管理もSaaSで利用できるようになったことで、今後ますます需要が増えそうです。
|
みなさんこんにちは、長谷川まりです。
PPAPをご存じでしょうか?おそらく業務でメールを利用する多くの方が経験されてきたセキュリティ対策としてのパスワード別送を指しますが、既に「意味がない」「リスクがある」とされて久しく、企業では脱PPAPの動きが盛んになっています。今回は、改めてPPAPとは何かのおさらいとリスク、代替手段についてご紹介します。
♪アイハブアペン アイハブアンアッポー!
PPAP、耳に残る、楽しい歌でしたね。このPPAPが、いまITセキュリティの世界では忌み嫌われ、排除の動きが盛んになっています。
ITセキュリティにおけるPPAPとは、ご存じのとおり、「パスワード付きZIPファイルを送り、その後別メールでパスワードを送る」一連のアクションを指します。誰もが一度は経験したことのある手順ではないでしょうか。
P:Password付きZIPファイルを送ります
P:Passwordを送ります
A:Angoka(暗号化)
P:Protocol(プロトコル)
しかし当たり前のように普及してきたこの手順、現在ではその効果に疑問符が付いています。それはなぜなのでしょう。
PPAPはもともと、メール送受信時の添付ファイルの情報漏洩を防止する目的で考案されたセキュリティ対策でした。それが忌み嫌われてしまったのは、以下の理由があります。
そもそも運用当初に想定されていたのは、「電話」や「FAX」など、メールとは異なる別の手段を用いてパスワードを伝えるものでした。しかし、業務の効率や利便性の面で定着せず、いつしか「後追いのメールでパスワードを伝える」という方法がまかり通るようになってしまいました。その結果、「もし宛先が間違っていた場合には、パスワード付ZIPファイルとパスワード両方が間違った宛先にそのまま届いてしまう」という、情報保護の目的に全くそぐわない危険が発生してしまうことになりました。電話やFAXといったビジネスの主たる通信手段が、メールやチャットに置き換わっていく過渡期であったことも災いしたかもしれません。
もうひとつの大きなリスクが、「添付ファイルのウィルスチェックができないこと」です。現在のウィルス対策ソフトでは、パスワード付きZIPファイルに対してウィルスチェックをする術がありません。多くの企業ではパスワード付きZIPファイルは「チェックなしで通過」させてしまっているケースがほとんどです。さらに困ったことに、受信者側の心理として「添付ファイルは社内セキュリティでチェックされているはず」という誤解が働き、何の躊躇もなくファイルを解凍してしまい、マルウェアに感染するリスクを高めています。実際にマルウェアを感染させたファイルをパスワード付きZIPファイルで送りつけるといった攻撃手法も確認されています。
|
このようなPPAPのリスクへの基本的な対策として、「パスワード送付時には他のチャネルを利用する」「ユーザー自身による慎重な取り扱い」が必要になるわけですが、個人のリテラシーに頼る対応では不十分です。そこで今、根本的にPPAPを廃止し、新たな代替手段として「安全なファイル共有方法」を各企業が模索する動きがあります。例えば以下の方法があります。
メールで送れない大容量ファイルの送付手段として以前から存在するサービス。費用もおおむね安価で、期限設定や送信ログ機能などもあるため、PPAPの代替手段としての利用が可能です。ただし、サービスへファイルをアップロードするひと手間や、結局のところサービスへのリンクとパスワードをメール等で送信する必要があることなど、PPAPの持つリスクを根本的に解決するには運用も考慮する必要があります。
ビジネスツールとしてチャットツールを導入済みの企業も増えており、ファイル送信手段の一つとして考えることができます。他の方法に比べて送信先の特定も容易なため、誤送信のリスクもある程度抑えることができます。しかし前提条件として受信者/送信者の双方が同じ製品のアカウントを持っている必要があるため、多数の送信先とやり取りする必要がある業態の場合は採用のハードルが上がってしまいます。
|
クラウドストレージサービスはその拡張性や機能面から、PPAPの代替手段として検討されることが多いです。サービス提供側もそれを十分に認識し、ファイル共有に関する機能強化を進めていますので、脱PPAPにクラウドストレージサービスを検討する場合は、運用面とセキュリティ面で、以下の機能に注目すると良いかもしれません。
複数のクラウドストレージを利用している、または、オンプレミスストレージも併用している、といった運用の場合、ユーザーは「共有したいファイルがどこにあるのか?」を常に意識し、場合によっては共有のためのファイル移動が必要になります。クラウドストレージに他のストレージとの連携運用機能があると、ユーザーはファイルがどこにあってもすぐに共有操作を始めることができ、ストレスなく利用できます。
クラウドストレージを利用してファイル共有を行う場合でも、受信側にURLリンクを伝えるためにメールを送る必要があります。もしクラウドストレージにメールとの連携機能があれば、ユーザーは共有リンクを作成する作業とリンクをお知らせするメールの作成を同時に行えるので、作業効率が大きく向上します。
例えば、多くの作業中ファイルが入ったワークフォルダから一つだけファイルを共有したい、といった場合には、送りたいファイルだけを別フォルダに移してから共有する、という操作が必要になる場合があります。もしそのような場面で、共有するファイルだけを相手に見せ、その他のファイルは見えないといった機能があれば、ユーザーはファイル移動の必要なくスムーズに処理を行うことが可能です。また、共有ファイルを参照させるがダウンロードはさせない、さらに見せるファイルには透かしを入れてスクリーンショットを防止するなど、ファイル共有時のセキュリティ機能があることで、さらにきめ細かいデータのやり取りが可能になります。
|
以上のように、PPAPの持つリスクと代替方法についてご紹介しました。
アシストではファイル無害化機能を持つリモートブラウザサービス、「Ericom Shield Cloud」をご紹介しています。続く以下のページで、「Ericom Shield Cloud」の機能の確認と資料をダウンロードいただけます。情報収集にお気軽にご利用ください。
長谷川 まり
|
|
従来のパッケージ版に加え、クラウド版もリリースしたiDoperation。高い可用性が求められるサーバーの特権ID管理もSaaSで利用できるようになったことで、今後ますます需要が増えそうです。
サイバー攻撃では多くの場合、Active Directoryが狙われています。企業の中核システムとして止められない。多機能で運用も複雑。そんなActive Directoryを守るには、どうしたらよいのでしょう。
テレワーク実現方法の1つ、仮想デスクトップ構築。中でもAzure上で提供されるWVD(Windows Virtual Desktop)は、Microsoftユーザーにメリットを感じやすいかもしれません。その理由を解説します。