株式会社クオリティアは12月23日、添付ファイルのZip暗号化(PPAP)について同社の見解を発表した。世界に稀な独特のビジネス習慣であるPPAPは11月17日に平井デジタル改革担当大臣が、霞が関での利用を11月26日から廃止すると会見で明らかにしたことで注目されている。
同社ではZip暗号化について、2012年にはISMSやPマークを取得するうえで添付ファイルのパスワードによる暗号化が効果的であるという見解が示されたことから広く一般的になっていった過程を述べた上で、問題点として「暗号化した添付ファイルとパスワードを同一経路で送信している」「ファイルを暗号化してメール添付するとゲートウェイでのウイルスチェックができない」の2点を挙げた。
「暗号化した添付ファイルとパスワードを同一経路で送信している」については、暗号化したファイルをメール添付し送り、同一経路で後追いパスワードを受信者に伝えることは、その経路上が第三者に盗聴された場合にパスワードまで傍受され意味が無く、「ファイルを暗号化してメール添付するとゲートウェイでのウイルスチェックができない」については、Emotetや新たに報告されたIcedIDなどのマルウェアは、ファイルを暗号化しメール添付するため、一般のセキュリティソフトでの検出が困難である点に言及。
同社ではPPAPの代替手段として現状考えられる以下の4つを挙げ、その懸念点について述べている。
1.STARTTLS、MTA-STS(TLS1.2以上)、DANEなどのメールサーバ間のセキュリティ対策を利用する
[懸念点]
・送信者と受信者のEnd to Endの暗号化ではなく、誤送信防止にはならない
・メールクラウドサービスを利用している場合、通信経路の暗号化はクラウド事業者の対応可否に依存し、自分の意志で暗号化の有無を決められない
同社ではZip暗号化について、2012年にはISMSやPマークを取得するうえで添付ファイルのパスワードによる暗号化が効果的であるという見解が示されたことから広く一般的になっていった過程を述べた上で、問題点として「暗号化した添付ファイルとパスワードを同一経路で送信している」「ファイルを暗号化してメール添付するとゲートウェイでのウイルスチェックができない」の2点を挙げた。
「暗号化した添付ファイルとパスワードを同一経路で送信している」については、暗号化したファイルをメール添付し送り、同一経路で後追いパスワードを受信者に伝えることは、その経路上が第三者に盗聴された場合にパスワードまで傍受され意味が無く、「ファイルを暗号化してメール添付するとゲートウェイでのウイルスチェックができない」については、Emotetや新たに報告されたIcedIDなどのマルウェアは、ファイルを暗号化しメール添付するため、一般のセキュリティソフトでの検出が困難である点に言及。
同社ではPPAPの代替手段として現状考えられる以下の4つを挙げ、その懸念点について述べている。
1.STARTTLS、MTA-STS(TLS1.2以上)、DANEなどのメールサーバ間のセキュリティ対策を利用する
[懸念点]
・送信者と受信者のEnd to Endの暗号化ではなく、誤送信防止にはならない
・メールクラウドサービスを利用している場合、通信経路の暗号化はクラウド事業者の対応可否に依存し、自分の意志で暗号化の有無を決められない
