平素より HENNGE One をご利用いただき誠にありがとうございます。
昨年より、デジタル庁のパスワード付きZIPファイルの送付運用廃止を受けて、
ファイルを安全に受け渡しする方法について沢山のお問い合わせをいただきました。
実際のお客様からの声を元に、各社対応方針の傾向について纏めさせていただきました。
今後のお客様の内部ポリシー検討と照らし合わせて各種ご判断いただけますと幸いです。
方針1:情報収集のみで対応方針は未確定
最も多かったのが、社内で話題に上がったが対応方針は未確定というケースでした。理由としては以下のとおりです。
- 取引先でZIPファイルの受信禁止など、まだ実影響がでていない。
- ZIP暗号化という手法のリスクや有効性が会社として判断できていない。
- オンラインストレージ等、代替案利用における運用変更や業務影響について調査中。
以上より、エンドユーザーやトップダウンで説明を求められた場合に備えて、現時点では「情報収集」をしている企業様が大半でした。
また、上記の通り、まだ業務影響が出ていない点からも、ZIP暗号化の廃止に関して緊急度は低い傾向にあるようです。
方針2:ZIP暗号化は止めないがオンラインストレージを積極的に活用
次に多かった方針が、「ZIP暗号化」は止めないが、HENNGE Secure Transferや他社オンラインストレージサービスを積極的に活用していく、という方針でした。理由は以下のとおりです。
- 大容量ファイル送受用として、すでにオンラインストレージサービスを利用しているため、本件の代替策としても活用していく。
- ZIP暗号化と比較して、ファイル送付後でも、ファイルの閲覧やダウンロードを禁止することができるため、情報漏えい防止にも寄与することができる。
- 取引先がインターネットのURLフィルタリングしている場合など、オンラインストレージサービスが利用できないケースもあることから、ZIP暗号化という手段は残しておく必要がある。
上記の通り、ファイルの受け渡し手段として、オンラインストレージサービスを更に活用していく一方で、「受信者側で URL フィルタリング等により、オンラインストレージが使えない場合」などのデメリットをカバーするために、ZIP暗号化を完全に廃止しない方針のお客様も多いようです。
方針3:ZIP暗号化を完全に廃止する
まだ多くは無いようですが、完全に自動ZIP暗号化を廃止する方針で検討している企業様もいるようです。廃止理由はお客様によって様々ですが、以下のとおりです。
- ZIP暗号化におけるセキュリティ効果が限定的である一方、エンドユーザーのZIP暗号化やパスワード別送などの運用負荷がかかる。
- Emotet(エモテット)のようなマルウェア感染によるリスクがあるZIPファイル自体の利用を積極的に活用することを避けたい。
上記対策について会社全体で統制するために、HENNGE Email DLPで「パスワード付きZIPファイルが添付されていた場合は、外部アドレスへメール送信させない」といったルールの追加を検討している企業様もいらっしゃいます。
よくある質問
添付ファイルを自動的にダウンロードURL化して送付する機能はありますか?
2021年10月1日リリースの機能「HENNGE Secure Download」にて自動的にダウンロードURL化する機能をご利用いただくことが可能です。
詳細につきましては、以下をご確認ください。
また、この機能を利用する際は、2021年8月11日に発表致しました新プランによる契約が必要となります。新プランに関する詳細につきましては、以下をご確認ください。
パスワード付ZIP暗号化はセキュリティ対策として意味がないのでしょうか?
メールにおけるファイル送受信の盗聴防止には有効、ただし課題点もあります。
世の中のインターネット通信において、メール配送(SMTP通信)の暗号化は、まだ完全に普及しておらず、インターネット上の一部経路においては、平文でメールの送受信がされ、安全にメールのやりとりができない可能性があるというのが現状です。
そのためメールのやりとりにおいて、メールの経路に依存せず、送付した添付ファイルが、悪意のあるユーザーに流出すること(盗聴されること)を防ぐための対策として、パスワード付ZIP暗号化は有効です。
一方で、以下のような課題もあります。
メールで別送したパスワードが盗聴されるリスクがある
添付されたファイル自体が暗号化されていた場合でも、別送されるパスワードが盗聴された場合、情報漏えい対策としては意味がありません。
そのため、上記対策として、HENNGE Email DLPでは、固定化したパスワードを設定をすることも可能です。この設定を利用し、予め決めておいたパスワードで運用することで、パスワードの送受信をしない対策を実施することも可能かと考えております。
または、HENNGE Secure Transferなど、ファイルをアップロードして受け渡す仕組みを活用し、一定期間のみファイルダウンロードを許可する機能を利用することで、パスワードが傍受されていた場合でも、リスクを軽減することが可能かと思います。
メール受信時にZIPファイルの中身をウイルスチェックできない
各企業で利用しているメールサービス、またはスパムチェックサービスでは、受信したメールの添付ファイルの中身に不審なファイルが無いかチェックをする機能が備わっています。しかしながら、添付ファイルが暗号化されている場合、中身のチェックが困難な場合があります。
上記挙動を利用して、悪意のあるユーザーやソフトウェアがマルウェアを含むパスワード付きZIP暗号化ファイルとして、通常の業務メールと偽って相手に送信し、ウイルスチェックをすり抜けることで、相手の端末に感染させるEmotet(エモテット)のようなマルウェアが最近話題となっています。
上記対策としては、ZIPファイルのメール受信を制限する、標的型対策サービスの導入など、受信メールの対策やマルウェア感染後の対策として、対応する必要があるかと思います。
以上より、今後のファイルの受け渡し方法としては、HENNGE Secure Transferなどのサービスを積極的に活用しつつも、
インターネットアクセスが制限されており、上記サービスが利用できない取引先に対しては、
パスワード付きZIP暗号化も利用をするといった対策が有効なのではないかと考えています。
尚、HENNGE Email DLPでは、『ファイル名に任意文字列を含むときのみ自動暗号化をする』といった設定をすることで、
暗号化ツールの利用や、パスワードの通知を省略することができるため、
ZIP暗号化運用による生産性向上に寄与することも可能です。
HENNGE Secure Transfer活用における監査対策はどうすればよいでしょうか?
HENNGE Secure Transfer管理者の場合、テナント内全員のユーザーのダウンロードログやアクションログを閲覧することが可能です。
また、実際に受け渡したファイルをダウンロードすることもできます。
※各種ログは永久保存されますが、ファイルのダウンロード可能期間は366日となります。
尚、本来ダウンロードログについては、ダウンロードされた環境のグローバルIPアドレスが残りますが、
「ファイル受取人の確認機能」を利用することで、ダウンロードした方のメールアドレスを
ダウンロードログに残すことができます。
ご相談窓口について
ご相談例:
・誤送信対策は実施しつつ、添付ファイルを自動ZIP暗号化をする設定を解除したい
・添付ファイルを自動ZIP暗号化機能を利用し続けたいが、利用ユーザを特定条件で限定させたい
・HENNGE Secure Transferを利用をしたい
・Web会議にて自社設定をもとに設定変更方針について相談したい。
などの各種運用のご相談につきましては、お気軽に以下お問い合わせ窓口にご連絡ください。
弊社担当者が親身になって対応させていただきます。
ご相談窓口:one-success@hennge.com