こんにちは。当ブログをご覧いただき、ありがとうございます。
管理人の白狐(しろぎつね)です。
添付ファイルを暗号化してメールに添付することをPPAP(Password付ZIPファイルを送る、Passwordを送る、Angokaする、Protocolの略)と言いますが(もちろんペンパイナッポーアッポーペンではありません。古い 笑)、これを禁止しようと叫ばれて久しいですよね。
この習慣は特にIT企業でよく見られましたが、最近では禁止する方針を明確に打ち出した企業も出てきて、かなり件数は減ったように思います。
PPAPは、添付ファイルからウイルス感染する危険性が以前から指摘されています。病院では電子カルテをインターネットから切り離して運用しているのですが、インターネット経由で受け取ったファイルをUSBメモリを介して電子カルテに取り込むことがありますので、添付ファイルは慎重に扱わなくてはなりません。
最近でもランサムウェアに感染し診療が止まってしまった病院がありました。ランサムウェアはよくメールから感染するケースが多いことから、PPAPを廃止することがセキュリティの向上に寄与すると言えます。
今回は、病院でもこのPPAPを廃止すべき理由について考えます。
目次
なぜPPAPが使われてきたのか
誰しも一度は、こんなメールを受け取ったことがあるでしょう。
ファイルにパスワードをかけてメールします。パスワードは別途送ります。
しかし、誰しもこう思ったことがあるはずです。
パスワードを別便で送ることに、何の意味があるんだろう?
私もそうでした。なんとなくの「習わし」でやってきただけで、何の効果があるのか疑問でした。
PPAPを使う本来の目的は、情報漏えいの防止にあります。
メールの宛先を間違えて送ってしまった場合に、「間違えたので先ほどのメールは消して下さい」と伝えることで、ファイルを開けられずに済むというメリットがあります。
確かに、送った後に気づいて「あっ、しまった!」ってなるときあるよね。
メールを送るときに宛先を確認するのは鉄則ですが、ヒューマンエラーは必ず起きるもの。ファイル本体とカギを別に送ることで再発防止策とされたのが始まりでした。
この意味を理解してPPAPを使っていた人がどれだけいたかは疑問です・・・。
添付ファイル自体がウイルスの温床
ところがこの対策はいつしか形骸化し、単に添付ファイルとパスワードを別便で送る作業になってしまいました。
本来の目的を果たすためには、1通目のメールを送った後に、2通目のメールを新規に作成して宛名を指定するところから始めるのが望ましい形。それによって、宛先の間違いに気づくわけです。
しかし、それまでは1通のメールで済んでいたものが2通になるわけですから手間が増えますので、そのうち1回目のメールをコピーして2回目のメールに使い回したりします。
こうなると、本来の「宛先の間違いを防止する」策としてはほとんど機能していなかったと言えます。
ルールが形骸化するばかりか、暗号化した添付ファイルがウイルスの温床にすらなっていました。なぜかといえば、ウイルス対策ソフトのチェックを逃れてしまうからです。
暗号化されているがゆえに、ソフトが中身を見に行けず素通りしてしまう危険があったのです。
本来の目的を果たせないばかりか、害にすらなっていたというわけだね。
▼実際に、日本医師会の事務局が添付ファイルを開いたことでマルウェア・Emotetに感染した事例も出ています。こちらの記事で取り上げましたので、ご覧ください。
添付ファイルがウイルスを持ち込むきっかけになることも
いっぽうで病院の電子カルテは、通常はインターネットから切り離された安全な空間に構築されています。当然外部とのメールもできませんので、PPAPによる直接の被害は受けません。
しかし、USBメモリなどで添付ファイルを持ち込まれた場合は、ウイルス感染のリスクが伴います。
電子カルテの端末は、情報漏えい防止の観点からUSBメモリの接続がソフトウェアでブロックされているのが一般的。添付ファイルを電子カルテのネットワークに持ち込みたい場合は、情シス(情報システム部門)に依頼するなどして、許可された一部の者だけが可能な運用にされています。
しかしそのUSBメモリの中に、ウイルスが仕込まれた添付ファイルが混ざっていたらどうなるでしょうか。あらかじめ別の端末で添付ファイルを開き中身をチェックしているのが理想ですが、そうでない場合は、電子カルテのネットワークにウイルスが侵入することになります。
事前にウイルススキャンするなんて当たり前だよね?
そうなのですが、いつの間にかおざなりになってたりするんですよね・・・。
ファイルを送るときはオンラインストレージを使う
ではPPAPの代わりに何を使えばいいかと言うと、オンラインストレージが望ましいと言えます。
代表的なものに、「データ便」があります。
オンラインストレージとは、クラウド上にファイルを置いて受け渡しするサービスのこと。ファイルをアップロードしたら、そのURLをメールに記載して相手に送るだけです。
メールには添付できない大容量のデータをやり取りできたり、アップしたデータが数日間で自動的に消えたりするのが特徴です。
PPAPの目的である「メールの誤送信防止」の代替策にはなりませんが、仮に間違えた相手にメールを送ったとしても、すぐに開封されなければ数日間でデータが消えるため、いつまでも相手側に残るリスクはなくなります。
PPAPを廃止した企業もこのオンラインストレージや類似サービスを使うようになっていますので、添付ファイルを送る方法としては現段階でベストな案と言えるのではないでしょうか。
データ便は、もちろん無料で使えます。
最近は、病院もウイルスや個人情報漏洩といったセキュリティリスクに晒されることが多くなりました。先日も徳島県の病院がランサムウェアに感染し診療が停止するなど、対岸の火事とは言えない事態を引き起こすようになってきています。
「狙われるのは大企業くらいで、うちには関係ないだろう」と楽観視すべきではないでしょう。私も院内SEとしてコンピュータウイルスのさまざまな侵入経路を想定し、感染防止に努めたいと思います。
最後までお読みいただき、ありがとうございました。
--------------------------------------------------
当ブログでは、病院に勤務するシステムエンジニアの私が、関係法令の改正やパソコンのトラブルシューティングなどをSE目線から紹介しています。面白そうだと思っていただけたら、ぜひブラウザにお気に入りの登録をお願いします!
▼院内SEの知名度向上を目指しブログ定期更新中!
応援してくださる方は、下の「人気ブログランキング」ボタンをクリックお願いします!