企業がメールを送受信する際、注意しなければいけないのが情報漏えいです。万一情報が漏れてしまうと、自社の信用失墜にもつながります。それゆえメールへのセキュリティ対策として「PPAP」が用いられてきました。しかし今日では、この方式の問題点が発覚し、多くの企業で廃止が進んでいます。本記事では、PPAPの問題点や廃止される理由を解説します。
PPAP方式とは
「PPAP」とは、Eメールの送受信時に用いられるセキュリティ対策の1つです。企業が重要な情報をメールでやり取りする際は、データの傍受などにより情報が漏えいする危険性があります。そこで、こうした問題への対策として、以下のような手順を踏んだメール送信方法が考案されたのです。
- データをZIPファイルに圧縮・暗号化してから送信(「P」assword付き暗号化ファイルの送信)
- 先に送信したファイルのパスワードを送信(「P」asswordの送信)
- 受信者は、送られてきたパスワードを基に暗号化を解除(「A」ngoka/暗号化解除)
この一連の流れに「手順」を意味する「Protocol」を加え、それぞれの頭文字を取って名付けたのがPPAPです。この手法では重要なデータが暗号化されており、仮に通信を傍受されたとしても、パスワードがわからなければファイルを開けません。そのため、この手法が考案された当初は、企業のみならず政府機関でも安全な送信方法として認識され、広く採用されていました。しかし現在、PPAPも万全ではなく課題がいくつかがあることが指摘されており、一部企業では廃止する動きも出ています。
PPAP方式の廃止理由とは
ここからは、PPAPが廃止となった理由について解説していきます。
情報漏えいリスクを大きく軽減するには至らない
PPAPが考案された理由は、メール傍受によるデータの漏えいを防ぐためです。そのため、重要なデータを暗号化してしまえば、悪意のある第三者が傍受していたとしても開けません。しかし、問題点は、そのあとメールを送信するところにあります。
もし第三者がメールを傍受していた場合、送信したパスワードも盗むことが可能です。これでは、鍵付きのアタッシュケースを鍵と一緒に送付しているのと変わりありません。アタッシュケースが盗まれてしまえば、鍵も一緒に盗られるので容易に開けられてしまいます。
さらに受信者側は、ファイルと一緒にパスワードも管理しなくてはいけないという問題が発生します。パスワードが漏れてしまうとファイルを開けられてしまうため、適当な場所にパスワードを保管するわけにはいきません。また、わかりづらい場所やメールアーカイブなどに保存しておくと、後々開くときにパスワードの所在がわからなくなる可能性もあるのです。
ウイルスチェックができない
近年のEメールセキュリティ対策では、マルウェアへの感染対策が必須です。マルウェアに感染すると、情報が盗み取られる危険性があるほか、業務に大きな悪影響を及ぼす恐れもあるからです。そこで企業では、このような問題に対してセキュリティ対策ソフトを導入し、受信したメールのウイルスチェックに努めています。
通常であれば、この方法でマルウェアに感染しているメールを検知することが可能です。しかし、PPAPで送信されたものは、暗号化されているのでマルウェアに感染していたとしても検知されません。
万が一、感染ファイルを開いてしまえば大きな問題となるため、PPAPで送信されたファイルは受信者側にとってもリスクがあります。実際、企業の情報を盗むマルウェアも確認されているため、PPAP方式はマルウェア感染対策の観点からも危険性を孕んでいるのです。
誤送信対策としてあまり有効ではない
Eメールによる情報漏えいには、誤送信に起因するものもあります。メール送信の際にアドレスを間違えて送信することで、第三者に重要な情報が流れてしまう危険性もあるのです。暗号化ファイルのみを誤送信した場合は、ファイルにロックがかかって開けないので、PPAP方式は有効です。
しかし基本的には、ファイルを送信したら、すぐに同様のメールでパスワードを送るため、パスワードまで同じ宛先に誤送信してしまう恐れも低くはありません。これでは、パスワードを設ける意味がないことは明らかでしょう。
こうした問題を考えると、パスワードは別の手段で送るほうが有効と言えます。実際、PPAPがセキュリティ対策として認められた当初は、電話やFAXなど別のチャネルの使用が想定されていましたが、利便性の問題から定着しなかったという経緯があります。
政府や内閣府がPPAP方式を廃止したわけとは
PPAPは2011年ごろから利用されていますが、前述した問題があることから、続々と廃止する企業が増えてきました。そのきっかけとなったのが、政府によるPPAP廃止の発表です。2020年11月にデジタル改革の担当大臣が、内閣府および内閣官房におけるPPAPの廃止を決定しました。その理由は、政府が設置した意見サイトにてPPAPの危険性を多くの方から指摘されたためです。
もともと政府が利用しているということもあり、多くの企業が安全な方式としてPPAPを採用していましたが、この決定を受け、今後はさまざまな企業が追随していくと考えられます。現に日立製作所では、2021年度からPPAPを廃止し、新たにクラウドを利用して重要なファイルの送受信を行う方針を掲げています。
少し前までは、現在のようにIT技術が発達しておらず、PPAPに頼らざるを得ない部分が間々ありました。しかし昨今では、クラウドの普及なども相まって、ファイルの送受信を行う手段が増えたため、PPAPを廃止する機運も高まっていると言えるでしょう。
PPAPの代替手段となるツールや手法
では、PPAPを廃止するにあたり、新たにどのような方法を採用すればよいのでしょうか。以下では、PPAPの代替となるツールを紹介します。
オンラインストレージ
オンラインストレージは、ファイルをサーバー上にアップロードして共有するサービスです。ファイルをアップロードすると、保管場所のURLが発行されるので、共有したい相手にURLを送ってファイルを取得してもらいます。
オンラインストレージの有名なサービスとしては、「OneDrive」「Google Drive」「iCloud」「Dropbox」などがあります。これらはWindowsやMac、iPhoneなどに標準装備されているため、多くの方がご存知でしょう。現在、オンラインストレージは多くのデバイスに搭載されているため、利用しやすくセキュリティも高いというメリットがあります。
また、ローカルファイルとの同期が行えるという利点もあります。設定したローカルファイルにファイルを入れるだけでファイルが共有されるので、業務効率を上げることも可能です。
グループウェア
グループウェアは、組織内で情報共有を行うためのツールです。主に以下のような機能が備えられています。
- スケジュール管理
- チャットor掲示板
- ファイル共有
- ミーティング
- 会議室予約
グループウェアを使用すれば、「チャットでのやり取り」「ファイルの共有」「スケジュール管理」「オンライン会議」など、企業内メンバーとさまざまなことが実現します。さらにインターネットを利用できる環境であれば、外出先からアクセス可能なツールもあります。
リモートワークや出先での情報共有といった、さまざまなことに応用していける点がメリットです。また、ユーザーごとに閲覧権限を付与することも可能です。重要な情報にアクセスできるユーザーを限定することで、より効果的なセキュリティ管理が行えるでしょう。
まとめ
PPAPでは、ファイルを暗号化して送信→暗号化したファイルのパスワードを送信といった順番でメールを送ります。この方法であれば、データが傍受されてもファイルが暗号化されているため安全であると考えられてきました。
しかし、この方式ではパスワードを後便にて送信するため、傍受されていたら無意味ということが発覚します。そのほかにも、マルウェアを検知できない、誤送信による情報漏えいが防げないなどの問題もあり、政府は2020年からPPAP方式の廃止を決定しました。これを受け、企業も続々と廃止の流れに動いていることから、PPAPに代わる新たなデータ送信方法を考えなければいけません。
そこでおすすめなのが、「HENNGE One」です。HENNGE OneはZIP暗号化の代替策となるクラウドストレージを多要素認証(MFA)機能によって保護する他、メールの添付ファイルを自動的にHENNGE Secure Downloadというクラウドストレージ上にアップロードし、ダウンロード用リンクを送付するという機能も備えています。企業の重要情報のセキュリティ対策をお考えなら、ぜひご検討ください。
- カテゴリ:
- メールセキュリティ