重要なデータをメールで送信するときのセキュリティ対策として、「PPAP」方式が挙げられます。これまでPPAPは、政府が利用していたことから多くの企業でも利用されていました。しかし近年では、セキュリティ面のリスクが問題となり、禁止する企業が増えています。本記事では、PPAPの代替手段や対応策について解説します。
PPAP方式とは
「PPAP」方式とは、重要なファイルをメールでやり取りする際に用いられるセキュリティ対策の1つです。この手法では、以下の手順でファイルを送信します。
- ファイルをパスワード付きのZipファイルに圧縮
- ZIPファイルを送信
- ファイルを送信後、解凍のためのパスワードを送信
- 受信側はパスワードを基に暗号化を解除
この手順を簡略化すると、「Password付きのZipファイルを送信」「Passwordを送信」「Angoka(暗号化)解除」となります。これら3つに「手順」を意味する「Protocol」を足して、それぞれの頭文字を取りPPAPと呼ばれています。
この手法では、ファイルを圧縮する際にパスワードで鍵をかけるので、仮に盗聴されていても安全だと考えられていました。しかし実際は、ファイルのあとにパスワードを送信しているため、メールが盗聴されていた場合は簡単にファイルを開けられてしまいます。そのため、PPAPの安全性を疑問視する声が上がるようになり、後述する政府の発表も相まって、近年では多くの企業でPPAPを禁止する動きが加速しています。
PPAPの代替手段となるツールや対応策はあるのか
以下では、PPAPの代替手段となるツールについて解説していきます。
オンラインストレージの活用
データ共有に活用できるサービスとして、「オンラインストレージ」があります。このサービスは、サーバー上にファイルを置くことで、ユーザー同士のデータ共有を可能とします。サーバーに置かれたファイルは複数人で共有できるほか、フォルダを同期してチームでの共同作業も可能です。
代表的なソリューションとしては、「Dropbox」「OneDrive」「iCloud」「firestorage」などが挙げられます。最近ではWindowsにOneDrive、apple製品にはiCloudが標準搭載されているため、利用したことがある方も多いでしょう。
一方、セキュリティの面では、「ソリューションによって安全性が変わる」という特徴があります。基本的にベンダーが運用するサーバーでデータをやり取りするので、セキュリティは運用している企業頼みとなります。それゆえ、Web上にあるフリーのオンラインストレージは、情報漏えいのリスクがないとは言えません。そのためビジネスではBox、Dropbox for Businessなど法人向けサービスを利用するケースがほとんどです。
グループウェアの活用
データの共有では、「グループウェア」の活用もおすすめです。グループウェアとは、組織内での情報共有のために利用されるツールをいい、「スケジュール機能」「掲示板」「アドレス帳」「ビデオ会議」など複数の機能が備わっています。企業内ユーザー同士で情報を共有できるうえ、外出先からでもアクセス可能なため、業務効率の向上やリモートワークへの対応といったメリットがあります。
データ共有については、チャット上でファイルをアップロードしたり、共有フォルダにファイルを置いたりすることで可能です。また、しっかりとしたセキュリティポリシーに基づき設定を行えば、セキュリティの向上も期待できます。
ファイルとパスワードを別の経路で共有する
PPAP方式の問題点の1つに、パスワードをメールで送信することが挙げられます。というのも、万一メールが盗聴されていた場合、パスワードも入手されてしまうため暗号化する意味がないからです。
そこで、暗号化ファイルとは別経由でパスワードを送信することで、メール傍受による情報漏えい対策が可能となります。パスワードをメール以外で送信する方法として、チャットや電話などが挙げられます。これらを可能とするサービスには、例えば「Chartwork」「Skype」といったアプリケーションがあります。
両サービスともにチャット機能が備わっているほか、Skypeではインターネット電話も可能です。また、このようなサービスに相手が登録していない場合は、電話やFAXで伝える方法もあります。
PPAP運用でパスワードを長く設定
PPAPの利用を続けつつセキュリティを向上したいのであれば、長くて複雑なパスワードの設定と、「AES-256」を使用した暗号化が必須となります。もし、短いパスワードや「ZipCrypto」による暗号化を用いている場合は、総当たり攻撃によって情報漏えいする危険性があるからです。
総当たり攻撃は、数字とアルファベットを自動で打ち込むシステムを利用して、パスワードを解除する手法です。数字の0からアルファベットのZまでをすべて試していくため、総当たりという名前が付けられています。
通常、この攻撃への対策としては、規定回数の認証失敗によってロックをかけるという手段が用いられます。しかし、Zipのパスワードは何度でも入力できるシステムとなっているため、総当たり攻撃に弱いという欠点があります。数桁のパスワード程度ならものの数分で解除できてしまうため、十数桁の英数字や記号を織り交ぜたパスワードが推奨されます。
S/MIMEを活用する
メールには「S/MIME」という暗号化方式があります。これを使用すれば、メールを暗号化できるだけでなく電子証明書の付与も可能なため、メールの盗聴となりすましメール対策に有効です。
近年、なりすましメールによる被害が増えており、企業は何らかの対策を講じなければいけません。なりすましメールでは、関連企業や自社の従業員を装って、会社の情報や資金の窃取などを行います。一見すると詐欺メールとは気づきにくいため、騙されてしまう可能性が高いのです。
S/MIMEでは、こうした詐欺対策としてメールに電子証明書を付与し、受信時に照合を行います。受信側は、登録した電子証明書以外のメールは不審なものと見なしてブロックするため、第三者からのメールを受信する危険性がなくなります。
PPAPに対する国内の対応事例
最後に、PPAPに対する国内の対応事例を紹介します。
日本政府の対応策
2020年11月、日本政府は内閣府および内閣官房におけるPPAPの使用停止を発表しました。これまで内閣府では、ファイルのZip暗号化とパスワード送信を自動化するシステムを利用していましたが、PPAPのリスクに関する指摘が各所から殺到したことで、パスワードの送信機能を廃止したのです。
政府は新たな対応策として、内部ストレージでの共有を採用し、共有者には1回きりのURLとパスワードを通知する形で運用していくことを検討しています。また、内閣府システムを利用できない場合は、ファイル暗号化の解除パスワードを事前に決めておくとのことです。
日立グループの対応策
日立製作所は、2021年度からPPAPの廃止を決定しました。これまでPPAPを採用していたのは、セキュリティを担保できる手段がほかになかったからだそうです。
現在は、さまざまなクラウドサービスやツールが普及したため、セキュリティを担保した形でファイルのやり取りが可能となりました。実際、日立製作所ではクラウドサービスを利用して、ファイルの送付を考えているとのことです。
まとめ
PPAPの対応策としては、オンラインストレージの利用やグループウェアの活用が考えられます。しかし、すでに多くのクラウドサービスを利用している企業では、新たなシステムを導入しづらいという側面もあるでしょう。
そこでおすすめしたいのが、PPAPの問題を解決できるツール「HENNGE One」です。このソリューションを活用することで、Microsoft 365やGoogle Workspaceとビジネス向けのクラウドストレージであるDropboxやBoxのID/パスワードをまとめることができ、業務効率とセキュリティの向上が図れます。
さらに、クラウドメールの総合セキュリティーツールも付属しており、PPAPや誤送信、なりすましメールといったさまざまな問題に対応しています。ITシステムの認証統一とセキュリティ強化によって、企業の円滑な業務と情報保護を推進できるため、ぜひ検討してみてはいかがでしょうか。
