ビジネスメールにおけるPPAP問題とは?安全性について

 2023.08.09  クラウドセキュリティチャネル

ビジネスメールを送る際、パスワード付きZIPファイルを送る「PPAP」方式を採用している企業は多いことでしょう。近年、この方法ではセキュリティ対策が不十分と政府も危惧しており、現在は違った方法を取り入れる企業も増えています。本記事ではPPAPの危険性や、それに代わる具体的な手段について解説します。

ビジネスメールにおけるPPAPのセキュリティ問題

「PPAP」とは、メールによるファイルのやり取りを行う際に用いられるセキュリティ対策の1つです。簡単にいうと、パスワード付きの暗号化ZIPファイルをメールに添付して送信し、そのあとファイルの解凍に必要なパスワードを別途メールで送信するという手法です。このような手順を踏むことから、以下の頭文字を取ってPPAPと名付けられています。

「P」assword付きのZIPファイルを送信する
「P」asswordを送信する
「A」ngoka(暗号化)
「P」rotocol(手順)

PPAPは従来、情報漏えいやメールの誤送信などの対策として、政府機関や民間企業で広く採用されていました。しかし近年、この手法には多くの脆弱性があることが発覚し、各所で廃止する動きが加速しています。PPAPの問題点としては、主に以下が挙げられます。

情報漏えいリスクが高い

PPAPは当初、重要情報を含んだファイルを送る際、情報漏えいを防止するためのセキュリティ対策の一環として導入されました。「パスワードを知る人だけがZIPファイルを開けるため安全である」という考えのもと、内閣府や多くの民間企業が利用してきたのです。

しかし実際は、第三者によるパスワードの解析や誤送信、マルウェアに対する脆弱性など多くのリスクを孕んだ、「情報漏えいにつながりやすい手法」であることが判明しています。特に近年では、パスワード解析ツールの入手も容易になっており、10桁程度の複雑なパスワードを設けたとしても絶対に安全とは言えません。

そのため、後述する政府の発表も相まって、PPAPの利用を廃止する企業が続出しているのです。例えば、大手企業の日立製作所などでも、2021年12月13日よりグループ内でのPPAPの使用を禁止する方針を示しています。

ウイルスチェックができない

パスワードのかかったZIPファイルは、セキュリティ対策ソフトによるウイルスチェックが機能しない点も大きな問題です。仕事で用いられるPCには基本、セキュリティ対策ソフトが導入されていますが、現状のセキュリティ対策ソフトでは、パスワード付きZIPファイルに潜むウイルスを検知できません。そのため、ウイルスチェックを通過したことに安心し、受信者が添付ファイルを解凍した結果、ウイルスに感染してしまう恐れもあるのです。

特に近年では、「Emotet」というマルウェアが日本のみならず世界中で拡大し、問題になっています。もし、このマルウェアに感染した場合、個人情報や会社の機密情報が漏れてしまったり、社内のほかの端末まで感染してしまったり、あるいはなりすましメールの踏み台にされたりといった被害が懸念されます。

誤送信対策としてあまり有効ではない

そもそもPPAPは、本質的に誤送信対策として有効ではない点も指摘されています。というのも、ZIPファイルとパスワードを別送したところで、人為ミスなどにより一方あるいは両方が間違った宛先に届いてしまう可能性を否定できないからです。

メールにおいては、返信機能を用いてそのまま送信するケースも少なくありません。このような場合、1通目が宛先を間違えていると、2通目も同様に間違った宛先へ送信しかねません。また、ZIPファイルだけ誤送信した場合も、先述したようにパスワード解析が容易な現在では、情報漏えいのリスクは高くなります。

どうする?どう実現する?脱・PPAP

政府や内閣府がPPAP方式を廃止したわけとは

政府は2020年11月24日の会見にて、「セキュリティ対策として不十分」「受信者側の管理負担が大きい」「利便性に劣る」などの理由から、内閣府・内閣官房におけるPPAPを用いたZIPファイル送信の廃止を表明しました。

この背景には、政府が設置した意見募集サイト「デジタル改革アイデアボックス」に、PPAPに関する多くの指摘や陳情が寄せられたことがあります。発表当時、このような取り組みは政府内だけでなく民間企業にも影響すると指摘し、今後の民間企業の動向にも注意しつつ、具体的な解決策を募る旨も呼びかけています。

この政府の発表に追随するように、続々と脱PPAPに乗り出す企業が現れており、これに代わる新たな手段の導入も急がれています。

PPAPの代替手段となるツールや手法

では、これまで運用方法として活用してきたPPAPを廃止するとなると、どのような手段で代替すればよいのでしょうか。以下では、PPAPの代替手段として特に期待を寄せられている、「オンラインストレージ」「グループウェア」の2つについて解説します。

オンラインストレージ

オンラインストレージとは、インターネット上のサーバーにファイルをアップロードし、データをやり取りするサービスを指します。サイトのURLをメールなどで共有できるため、業務効率化にも適しています。さまざまな会社から多彩な機能を搭載した製品が登場しているので、どれを導入すればよいか迷ってしまう方もいるかもしれません。導入の際は、以下のポイントをチェックするとよいでしょう。

認証によるアクセス制限

オンラインストレージには、URLをメールで共有すれば受信者側が閲覧できるという特徴があります。しかし、セキュリティの観点で考えると、これもリスクを完全に抑えられるとは言えません。アクセスユーザーに対してIDを発行し、認証によるアクセス制限を設けられるものがよいでしょう。

認証方法については、これからの時代、よりセキュリティを高く保つ2段階認証や、生体認証などを用いた多要素認証が適用される製品がおすすめです。IDを発行し1つのパスワードで認証するのと比べ、よりセキュリティが強化されます。加えて、IPアドレスやデバイスのアクセス制限機能が付いていればなおよいでしょう。

アクセス権限の設定

これは、オンラインストレージ上で共有ファイルを作成・編集したり、閲覧したりする権限設定を意味します。サービスを利用する際は、アクセスユーザーやグループをきちんと管理し、個々のファイルに対して細かく権限を付与できるかも確認しましょう。社内の組織構造が複雑な場合は、役職のレイヤーなどでグループ分けしつつ、管理するのもおすすめです。

ダウンロード回数を制限する

これは、オンラインストレージ上でアップロードしたファイルをダウンロードする際、一定回数や指定した期日までしかダウンロードできないよう制限する機能です。ダウンロードに制限を設けることで、ファイルをいつまでも残したままにすることによるリスクを軽減できます。

アクセスログの管理

不正アクセスを検知してくれるのが、アクセスログ管理機能です。不正アクセスをはじめとした、何らかのトラブルを早めにキャッチできるため、こちらも重要です。もし、この機能がない場合でも、最低限アクセスログを出力する機能が付帯しているかどうかはチェックしましょう。

ファイルデータの暗号化

相手と共有するファイルデータを暗号化できるかどうかも重要なポイントです。暗号化機能には大きく分けて、SSLなどの通信経路を使った暗号化と、ストレージに保存する際のファイル暗号化の2種類があり、両方に対応しているとなおよいでしょう。

ファイル転送ツール

ファイル転送ツールとはクラウド上のWebサーバーにファイルを一時的にアップロードし、ダウンロード用のURLを相手に送付することでファイルを共有するものです。オンラインストレージと違い、アクセス権限の指定等が不要で単発のファイル共有に向く反面、共同編集などには向きません。最近ではHENNGE Secure Downloadのようなメール添付ファイルを自動的にファイル転送ツールにアップロードするような仕組みも登場しています。

まとめ

PPAPは、これまで安全性の高い方法と思われてきましたが、セキュリティ面でさまざまな欠陥を抱えていることが判明しています。政府内でもPPAPの廃止を表明していることから、民間企業においても今後は違った方法が求められるでしょう。

PPAPに代わるセキュリティ対策をお求めの企業様には、HENNGEが提供する「HENNGE One」をおすすめします。本ソリューションではクラウドストレージに対するパスワードを利用しないセキュアな認証方法を提供する他、ファイル転送機能などの脱PPAP機能も搭載しています。これからの時代、きちんとしたセキュリティ対策を十分に講じたうえで、安全な企業活動を行うためにも、ぜひ導入を検討してみてはいかがでしょうか。

ファイル共有完全ガイド 2022 〜脱PPAPにとどまらない生産性と安全性の劇的アップに向けて〜

RECENT POST「メールセキュリティ」の最新記事


メールセキュリティ

なりすましメールとは?見分け方や対処法などを解説

メールセキュリティ

増加するビジネスメール詐欺(BEC詐欺)に注意|事例や対策を紹介

メールセキュリティ

メール誤送信対策の必要性と有効性について解説

メールセキュリティ

PPAPの危険性:禁止される理由や代替案を紹介

ビジネスメールにおけるPPAP問題とは?安全性について