ZIP暗号化廃止発表から2年<事例から見る脱PPAP> 〜ZIP暗号化の廃止手法とそのメリット/デメリットを徹底解説〜

 2022.08.01  2022.08.02

インシデント損害額調査レポート2021年より徹底解説

メールによるファイルのやりとりをセキュアに実施するため、従来多くの日本企業ではPPAPと呼ばれる仕組みが利用されてきました。一方で2020年11月に内閣府がPPAPを取りやめると発表したことで、民間企業でも脱PPAPへの取り組みが進んでいます。しかし、実際は一部の先進企業だけが対策に取り組んでおり、成功例の模索はまだまだ続いています。そこで本記事では脱PPAPを実施した企業の事例を基に、脱PPAP成功のカギを解説します。

PPAPとは

PPAPとはメールの添付ファイルを保護するためのセキュリティ対策手法の一つで、パスワード付きZIPファイルをメールに添付して送付し、その直後に別メールで暗号化解除用のパスワードを送信する方式を指します。日本情報経済社会推進協会(JIPDEC)の大泰司章氏がタレントのピコ太郎氏のお笑いネタをもじって下記のように提唱したことからPPAPと呼ばれるようになりました。

P:パスワード付きZIP暗号化ファイルを送ります。
P:パスワードを送ります。
A:暗号化
P:プロトコル(手順)

この手順を実施すれば万が一社外秘の情報を誤った宛先に送付してしまった場合にもパスワードの別送時に誤りに気づけば第三者にファイルを開かれることはありません。2012年にはIPA(情報処理推進機構)が発行した「電子メール利用時の危険対策のしおり」でもこの手法が推奨されるなど、個人情報保護の重要性の高まりを背景に多くの企業で採用されるようになりました。

できることから考える-PPAPの現状と代替案について-
中央省庁の脱ZIP化から考えるセキュアなファイル共有とは

PPAPのデメリット

一見メリットが大きいように見えるPPAPですが、最近では時代遅れのセキュリティ対策として批判されるケースも増えています。主なデメリットは下記の通りです。

  1. 送信者/受信者双方に手間が発生する
  2. 暗号化されたファイルとパスワードが同一の経路を通過するため、パスワード盗難リスクが発生する
  3. 添付ファイルが暗号化されていることで受信側でマルウェアのチェックなどが行えない。

昨今では流行するEmotetの送信にZIPファイルが使われるケースもあり、PPAPでのメール送信を取りやめる企業が出ているほか、IT企業を中心にZIP暗号化されたメールの受信を拒否する企業も出ています。

脱PPAPの導入事例

このような情勢を背景に脱PPAPに取り組む企業も増えています。いくつかの先進事例から脱PPAPの方向性を探っていきましょう。

事例①:某製造業の脱PPAP

業種:自動車部品製造業
従業員数:約3,000名

【これまでのファイル共有方法】

  • 社内のファイル共有:Share Point
  • 社外へのファイル共有:PPAPもしくはメールで添付できない容量の大きなファイルはプリントアウトして郵送

【HENNGEを活用した脱PPAPの運用】

  • 社内のファイル共有:Share Point
  • 社外へのファイル共有:HENNGE Oneで添付ファイルを自動的にURL化
  • 大容量ファイルの送付:HENNGE Oneのストレージ機能で送付

【ポイント】

物理での郵送をなくすだけでなくユーザーの負担となる添付ファイルの自動URL化を合わせて実施することで利便性の向上とともに脱PPAPを実現されています。

事例②:某社会インフラ系企業の脱PPAP

業種:生活関連サービス業
従業員数:約9,000名

【これまでのファイル共有方法】

  • 社内のファイル共有:Box(Boxはファイルサーバーとしても活用)
  • 社外へのファイル共有:BoxもしくはPPAP

【HENNGEを活用した脱PPAPの運用】

  • 社内のファイル共有:Box
  • 社外へのファイル共有:HENNGE Oneで添付ファイルを自動的にURL化、PPAPで送付する必要がある取引先には自動ZIP暗号化機能を活用

【ポイント】
取引先の環境上、BoxのURLを開けないような企業もあり、取引先に応じて送信者側でPPAPを個別対応する必要がありました。HENNGE Oneを活用することで取引先の環境に応じた暗号化タイプを設定することできるので、ユーザーにはメールの宛先を意識させることなく脱PPAPを実現されています。

このように、先進企業ではユーザーの利便性を考慮しメール経路上で対策できる脱PPAPの方法を採用しており、この傾向は今後も続くと予想されます。

脱PPAPソリューション導入のリアル

前述の事例②の企業は当初、脱PPAPをBoxだけで対策を進めておられましたが、運用をユーザーに定着させることができませんでした。その背景としては、

(1)機能が多すぎる点、(2)ユーザーの負荷が大きい点

の2点が挙げられます。従来のPPAP方式のメリットは添付ファイルをZIP暗号化するだけという容易性から運用が平易だった点があります。しかし、多くのクラウドストレージは多くの機能を備えているほか、大量のファイルを保管できる性質があるため、情報漏洩防止のためにアクセス/共有権限の設定は必須となります。事例②の企業は情報漏洩を防ぐため外部共有実施時には事前に都度情報システム部門への申請、承認を必要とするルールを策定していましたが、ユーザーの負荷が増え中にはストレージを利用せずファイルを平文でメール送付てしまうユーザーも出てきためより、簡素な方式での再検討を余儀なくされました。

脱PPAPソリューションの類型

さまざまな脱PPAP事例を見ていくと、各企業ごとに自社の特性に応じて脱PPAPソリューションを選択する必要性が見てとれます。ここで主な脱PPAPソリューションの特徴を改めて整理してみましょう。

クラウドストレージ型(Box、Dropboxなど)

クラウドストレージ型はクラウド上のファイルサーバーにさまざまなデータを保管し、ファイル/フォルダごとに権限を設定して共有する仕組みです。社内のファイルサーバーの置き換えにも利用できるほか、フォルダを相手先と共有していれば共同編集なども可能になります。一方で情報漏洩を防ぐためには権限設定が必須となるため、一回限りのファイル送信用途には向きません。

ファイル転送型(HENNGE Secure Transfer、どこでもキャビネットなど)

ファイル転送型はクラウドストレージにファイルをアップロードするとそのやりとりだけに使える1回限りのダウンロードURLを発行する仕組みです。権限設定が不要なため容易に利用できる点はメリットですが、共同編集など継続的なファイルの保管はできません。

メール添付ファイルURL化型(HENNGE Secure Downloadなど)

メール添付ファイルURL化型はメールの添付ファイルを自動的にクラウドストレージにアップロードしダウンロード用のURLリンクを自動作成、送信する仕組みです。ユーザーはメールにファイルを添付するだけという簡素な仕組みで簡単に導入でき権限設定も不要な点がメリットですが、送信容量はメールサーバーに依存するため大容量ファイルには向きません。

これらのソリューションを用途によって使い分ける必要があるため、脱PPAPは慎重に検討する必要があります。

脱PPAPで重要なこと

慎重な検討が必要な脱PPAPではありますが、押さえるべきポイントは決して多くはありません。ポイントは以下の3つです。

  1. できる限りユーザーの運用負荷を減らす
  2. 業務の性質によって複数の選択肢を用意しておく
  3. セキュリティレベルを担保できる仕組みを利用する

ユーザーが慣れている仕組みを利用することで①は満たすことができるため、メール添付ファイルURL化型はユーザーの運用を変えずに脱PPAPを実現できるため有力な選択肢です。またクラウドストレージ型を選択する場合にもユーザーが直感的に運用できるソリューションを選択することが重要です。さらに、製造業や建設業ではCADなど大容量のデータをやりとりするケースもあり、通常のファイル転送と大容量のファイル転送で複数の選択肢を用意することも必要となるため②も考慮すべき重要な観点となります。せっかくの脱PPAPでセキュリティレベルが下がるようなことは避けなければなりません。脱PPAPの問題であるパスワードがメール本文と同一のサーバーから送られるような仕組みは避けるべきでしょう。

まとめ

脱PPAPには複数の選択肢をうまく組み合わせることが重要です。選択に迷われたらHENNGEが提供するクラウドセキュリティサービス、HENNGE Oneがおすすめです。HENNGE Oneはメール添付ファイルを自動的にURL化するHENNGE Secure Downloadと大容量ファイル転送ツールのHENNGE Secure Transferをセットで提供しており、脱PPAPに取り組まれる企業がぶつかるような課題を解決できるSaaSとなっています。またクラウドストレージとのシングルサインオンに対応しているためユーザーのID/パスワード管理の手間も軽減できます。ぜひHENNGE Oneを検討してみてはいかがでしょうか。

HENNGE One導入事例集

RECENT POST「セキュリティ動向」の最新記事


セキュリティ動向

Azure ADで利用できる”セキュリティの規定値群(セキュリティデフォルト)”とは〜IDaaSとの差異を解説〜

セキュリティ動向

Google Workspace(旧 G Suite)のセキュリティ対策とは?

セキュリティ動向

Microsoft Teamsの利用で考慮すべきセキュリティ対策とは?

セキュリティ動向

VPNでセキュリティ対策は万全か?その役割と弱点とは?

ZIP暗号化廃止発表から2年<事例から見る脱PPAP> 〜ZIP暗号化の廃止手法とそのメリット/デメリットを徹底解説〜
CTA

RECENT POST 最新記事

CTA

RANKING人気記事ランキング