PPAPの問題点
ビジネスシーンにおいて、個人情報などの機密情報を含む重要なファイルを送信するときに発生する情報漏えい。
これを防ぐために日本企業の多くが社員に推奨してきた「PPAP(※)」という手段が、今では逆に危険とされ、多くの企業が新たな手段を模索しています。
※パスワード付き暗号化ファイルと、そのパスワードを別々のメールで送るファイル共有方法。「Passwordつきzip暗号化ファイルを送ります、Passwordを送ります、Aん号化(暗号化)、Protocol」の略
その暫定的な手段として、ファイル転送サービスやクラウドストレージを経由したファイル送信が採用されています。
しかし、これらには、ファイルをサービス事業者に委ねるリスクや、外部ウェブサイトへの接続が禁じられている企業における不便さが存在します。
また、パスワードによるファイル暗号化自体の脆弱性も無視できません。
解決する課題
クリプタンは、企業を情報漏えいによる損失、評判低下から守ることはもちろん、面倒な情報漏えい回避策を日常的に実行する煩わしさから解放することができ、業務効率と生産性のアップにも貢献します。
1
暗号化ファイルとパスワードの漏えいによる情報漏えいリスク
パスワード付ZIPファイルには、パスワードが設定されています。パスワードを正しい受信者だけに伝えられば、正しい受信者だけがZIPファイルを解凍できるという考えに基づいています。しかし、正しい受信者だけにパスワードを伝えるのは、実際には難しいのです。
PPAPにおいては、同じ経路(メール)でパスワードを伝えるため、メールを受け取れる人はZIPファイルに対応したパスワードを容易に知ることができます。これはメールを窃取できる人も同様です。したがって、同一経路でパスワードを別送することには、セキュリティ上のメリットがほぼありません。
パスワード付ZIPファイルをセキュリティの上で意味があるものにするためには、メールではない別の経路でパスワードを伝達する必要があります。例えば、電話やオンライン通話、あるいは、ショートメッセージやメッセージサービス等です。実現できたとしても、別経路を用意する手間や、ファイル送信のたびに、送信者と受信者が2つの経路で通信する手間が発生します。
2
パスワード付ZIPファイルの安全性
PPAPでは、上記のように同一経路によるパスワード送信が問題視されます。では、パスワードが漏えいしなければ大丈夫なのか、と問われたらどうでしょう。悪意の第三者がパスワード付ZIPファイルを取得した場合、パスワードが漏えいしていなくても、安全性が高いとは言えません。パスワードに対する総当たり攻撃により、パスワードはいずれ破られてしまうためです。
このため、パスワード付ZIPファイルで総当たり攻撃に強くするには、長いパスワードを設定するか、文字の種類(アルファベットの大文字・小文字と数字と記号)を多く使うことになります。すると、人間には覚えにくくなるので、何らかのテキストメッセージの形態で伝えることが選択され、同じメールでパスワードを伝達するのが最も簡単ということになります。これが、PPAPの直面する矛盾です。
これを回避するために、クラウドストレージやファイル転送サービスが採用されています。しかし、外部ストレージに暗号化ファイルを少なくとも一時的に保存するというプロセスには、パスワード付ZIPファイルの安全性の問題は、全く同じように存在しています。
解決策:暗号化ファイルのパスワードをなくす
そこで、パスロジはパスワードが不要の暗号化ファイル形式を開発しました。
Point
クリプタンにより生成される暗号化ファイル(p4cファイル)には、パスワードがありません。しかし、正しい相手しか復号することができません。
このため、
・パスワードを決める手間も、送信する手間もありません。
・万が一、暗号化ファイルが漏えいしても、総当たり攻撃は無効です。
では、受信者はどうやって暗号化ファイルを開くのでしょうか。