.png)
お客さまや取引先といった社外とファイルを共有する場合、どのような手法をとっていますか?
セキュリティ対策として暗号化したパスワード付きzipファイルをメールに添付し、その後解凍用パスワードを別メールで送信する方法を使っている会社も少なくはないのではないでしょうか?
こうした手法は「PPAP」とも呼ばれています。
しかしながら、現在ではPPAPはセキュリティ面から問題視されており、中央省庁においても利用廃止の方針が発表されています。
今回は、PPAPの問題を紹介し、どのように対策すべきかをご紹介します。
PPAPとは?普及した理由は?
そもそもPPAPは、「P:Passwordつきzip暗号化ファイルを送ります」「P:Passwordを送ります」「A:Aん号化(暗号化)」「P:Protocol(プロトコル)」の略語で、暗号化したパスワード付きzipファイルをメールに添付し、その後解凍用パスワードを改めて別メールで送信するセキュリティ対策方法です。
※プロトコル:通信するときに自分と通信相手が守るルール・手順のこと
この手順でファイルを共有すれば、万が一社外秘の情報を誤った宛先に送付してしまった場合にも、パスワードの別送時に誤りに気付けば第三者にファイルを開かれることはありません。メール本文自体の暗号化は難しくとも、添付ファイルだけは安全に送りたいというニーズがあったことや、メール送信時のエチケットとして広まったため、簡単にできるセキュリティ対策として、こういった慣習が官公庁や大企業にも定着しました。
PPAP廃止への転換
民間企業だけではなく、2011年頃から内閣府でもセキュリティ対策として利用されていたPPAPは脆弱性が指摘されるようになったことから、2022年11月に当時の平井デジタル改革担当大臣は中央省庁での利用廃止を発表しました。
さらにプライバシーマーク付与機関のJIPDECもPPAPについて、「従来から推奨していない」と公式見解をコメント。政府の脱PPAPの発表などを受け、一般企業でも添付ファイルのZip暗号化の利用廃止の流れが普及しました。
なぜPPAPを廃止する必要があるの?問題視される理由は?
ここまで浸透してしまったPPAPが廃止される理由として、問題点を3つに分けて解説します。
マルウェア感染のリスクが高い
PPAPが禁止される理由として、データの抜き取りや破壊攻撃をするマルウェア感染のリスクが高まる点があります。添付ファイルのウイルスをチェックする機能をもつセキュリティ対策製品は自動的にマルウェアをブロックすることはできますが、パスワード付きのzipファイルの中身は検知できないことがあるのです。
「Emotet(エモテット)」はこれを逆手に取り、メールを用いてマルウェアが仕込まれた添付ファイルを送信し、受信側が開封することでウイルス感染させる手法で近年猛威を振るいました。このようにマルウェアの感染対策を行う上で、PPAPはリスクが高い手法であることから廃止の動きが進んでいます。
マルウェアの一種「エモテット」について詳しく知りたい方は、以下の記事をご覧ください。
▶マルウェア「Emotet(エモテット)」の脅威を分かりやすく解説
情報漏えいの可能性がある
従来、PPAPは暗号化されたパスワード付きのファイルを無関係な第三者へ誤送信したとしても、2通目にパスワードが記載されたメールを送信しなければ、暗号化されたファイルの復号ができないため誤送信対策になると考えられていました。
しかし、これはメールを送信した直後に、宛先を毎回しっかりと確認するケースのみ有効な手法であり、現実的には、メールを送信した直後に、ワークフローなどを構えていない限り誤送信に気づくことは難しいものです。
加えて、パスワードの強度自体が弱く、短時間のうちに解析されやすい運用になっているケースも散見されます。一般的にID・パスワードを一定回数以上間違えるとロックがかかることが多いですが、「パスワード付きzipファイル」はそういった制限がないため何度でも試せてしまいます。そのため、PPAPは第三者に情報を渡してしまう恐れがあり、情報漏えいにつながるリスクがあることから廃止する動きになりました。
改正された個人情報保護法や情報漏えい対策について知りたい方は、以下の記事をご覧ください。
▶個人情報保護法にはどんな罰則がある? 違反や漏えいさせない為の対策とは
受信者側の利便性が低い
PPAPでファイルを受け取った相手にとって、パスワードメールを受け取り、そこに記載されたパスワードを入力して、zipファイルを解凍するというのは少々手間のかかる作業です。また1回のメールで開封できないため2回目のメールを待つ必要があるので時間もかかるので、送信者が送り忘れるなど、万が一メールが届かなければ業務に支障をきたしてしまう可能性があります。
さらに、スマートフォンではzipファイルを開封するためのアプリをダウンロードしなければならない場合があるのも難点です。
安全にデータを送受信するためのPPAPの代替案
ここからは、安全なファイル共有を実現する方法を提案するとともに、PPAPに代わる安全な送受信方法を紹介します。それぞれの特徴を把握し、自社に合った方法を導入しましょう。
ファイルをクラウドストレージ(共有ストレージ)にアップして渡す
PPAPの代替案の1つ目は共有したいファイルをクラウドストレージにアップして渡す方法です。
クラウドストレージ(共有ストレージ)とは
クラウドストレージとは、インターネット上に用意されているファイルやデータの保存場所のこと。また、ファイルを保管するだけでなく、クラウドストレージ上の(保管場所の)URLを共有することで、ファイルの共有も行えます。
送受信したいデータのやりとりにクラウドストレージを使用した方法は、共有者の指定やフォルダへのアクセス権を管理などが可能なため、十分なセキュリティ強化を期待できます。簡単な操作で大容量ファイルのやりとりが可能で1通のリンクを記載したメールの送受信で済むのも特徴です。
ファイルをクラウド上のストレージに保存・同期し、安全に共有するためのサービス。
さらに企業にとって必要なセキュリティ機能も提供。
ユーザーのアクセスログ、操作ログもしっかり管理できます。
ファイル暗号化ツールで制御をかけて送信する
PPAPの代替案の2つ目は、ファイル暗号化ツールを利用して、権限のある受信者しか閲覧や保存ができない形で送信するという方法です。
ファイル暗号化ツールとは
ファイル暗号化ツールとは、ファイルやデータを第三者が読み取れなくするために暗号をかけるツールのこと。近年ではファイル開封可能な閲覧者を事前に指定した上で暗号化するとパスワードレスで暗号化を行うことができたり、ファイルをリモートで制御ができる。
ファイル暗号化ツールを利用すると万が一、誤送信を起こしてしまった場合でも、送信後にファイルを削除することもできます。さらに、共有済みのファイルにアクセスした人のメールアドレスやIPアドレス、どんな操作が行われたのかの情報をリアルタイムで収集することができるため、情報漏えいが疑われる場合はすぐに検知が可能です。
ファイルの開封状況などのアクセス管理、編集・印刷などの操作制御が可能!
ユーザー指定や許可操作指定などのアクセス制御や
いざという時には遠隔で削除もできるファイル暗号化ツール。
添付ファイルをダウンロードリンクに変換して送信する
PPAPの代替案の3つ目は、添付ファイルをツールによってダウンロードURL化することで受信者側のFireWallなどでセキュリティチェックできます。
送信者はPPAP同様に添付にてファイルを送信するものの、メールの添付ファイルは自動で分離され、受信者側へはダウンロード用のリンクが届くため、メール添付の運用を変える必要がありません。さらにこの手法のソリューションは誤送信対策としての機能を搭載している製品も多いので安心です。
「脱PPAP」/「メール誤送信対策」に対応するソリューション。
メール経由の情報漏えいを未然に防止する機能を搭載し
企業のメールセキュリティを飛躍的に向上します。
ファイルをビジネスチャットで送信する
PPAPの代替案の最後が、ビジネスチャットなどのツールで送信するという方法です。
ビジネスチャットとは
ビジネスチャットとは、ビジネス利用に特化したチャットツールのこと。気軽にメッセージのやりとりを行えるだけでなく、ビデオ・音声通話やタスク管理、ファイル共有なども行えます。
ビジネスチャットツールはログ監査や通信内容の暗号化、アクセス制限などの機能で情報漏えいのリスクを軽減できるため安全かつスピーディにファイル送付することができます。さらに、ファイル共有後にメッセージの取り消しや送信ファイルの削除も行うことができるので、誤送信時のリスクも低減することが可能です。
安全にファイルのやりとりをするための運用方法の見直しを
今回は、PPAPの概要・問題点・代替案についてまとめました。PPAPはメールのセキュリティ対策としては脆弱で、Emotet(エモテット)のようなマルウェアが日々進化しているため、早急な対策をとる必要があります。本記事でご紹介した代替案をもとに、今のうちからPPAP廃止に向けた検討を始めてみてはいかがでしょうか。
.png)
.png)
