メール添付ファイルはクラウドストレージを活用しよう

電子メールの添付ファイルにパスワード付きZIPファイルを用いる、いわゆる「PPAP」（Password Protected Attachment Protocol）を用いて機密情報ファイルを送信することが行われてきました。しかし、Emotet などのマルウェア攻撃がパスワード付きZIPなどの暗号化された添付ファイルを悪用してセキュリティゲートウェイを回避していることから、2020年（令和2年）10月に、CISA（米国サイバーセキュリティ・インフラストラクチャ安全保障庁）は、アラート「AA20-280A: Emotet Malware」を発表。

受信メールのセキュリティ対策としてパスワード付きZIPファイルをブロックすることを（受け入れない）ことが推奨しました。
日本政府の対応も速やかで、2020年（令和2年）11月に内閣府が、政府内で採用していたパスワード付きZIPファイルで送る方式を配信する方針を打ち出しました。

現在は、メールにパスワード付きZIPファイルを添付する方法に代わり、クラウドストレージを用いることで、「情報の管理性」「誤送信対策」「漏洩時の影響範囲」「監査性」の観点からセキュリティリスクが低くなるとして、定着してきました。

情報の管理性と誤送信対策

メール添付は一度送信すると取り消しや回収が極めて困難です。
宛先の入力ミスやCC／BCCの誤りにより、意図しない相手に機密情報が送信される事故は後を絶ちません。さらに、受信者が添付ファイルを第三者に転送したり、個人端末に保存したりすると、送信者側はその後の管理状況を把握できなくなります。
つまり、メール添付は、送った瞬間にコントロールを失う手段だと言えます。

一方、クラウドストレージはアクセス制御を前提とした仕組みです。
ユーザーやグループ単位で閲覧・編集・ダウンロード権限を細かく設定でき、不要になれば即座に権限を剥奪できます。仮に誤って共有設定を行った場合でも、管理者が後からアクセスを停止できる点は、メール添付にはない大きな利点です。

漏洩時の影響範囲

メール添付の場合、ファイル自体が相手の環境にコピーされるため、漏洩が発生すると被害範囲の特定が困難になります。
対してクラウドストレージでは、実体のファイルはサーバー側にあり、利用者はアクセスしているだけです。ダウンロードを禁止する設定や、閲覧のみの権限を付与することで、情報の拡散を最小限に抑えることが可能です。

暗号化

多くの主要なクラウドストレージサービスでは、通信時および保存時の暗号化が標準で実装されています。メール添付でも暗号化は可能ですが、パスワード付きZIPのような運用は管理が煩雑で、パスワードを同じメールで送ってしまうなど、形骸化しやすいという問題があります。

監査性

クラウドストレージは、「誰が・いつ・どのファイルに・どのような操作をしたか」をログとして記録できるため、不正アクセスや内部不正の検知、インシデント発生時の調査が容易です。メール添付では、受信後の利用状況を追跡することはほぼ不可能です。

結論

以上の理由から、機密情報のやり取りにおいては、メール添付よりもクラウドストレージを利用した方が、管理性が高く、事故時の被害を抑えやすく、組織的なセキュリティ対策を実装しやすいと言えます。ただし、クラウドストレージであっても、適切な権限設計や運用ルールがなければリスクは残るため、技術と運用の両面での対策が重要です。