近年、PPAPを用いたEメールの送受信を廃止する動きが加速しています。組織のセキュリティ体制を最適化するためには、PPAPによるファイル共有はもはや時代遅れと言わざるを得ません。本記事では、「脱PPAP」が推奨される理由や具体的なセキュリティリスクについて解説しますので、ぜひ参考にしてください。
PPAPはセキュリティ対策方式の一つ
「PPAP」とは、Eメールの送受信におけるセキュリティ対策の1つで、パスワード付きZIPファイルとパスワードを別送する送信方式です。具体的なプロセスとしては、まずパスワード付きZIPファイルを添付した1通目のEメールを送信し、その直後にパスワードが記載された2通目を別送します。こうしてパスワード付きZIPファイルとパスワードを別々に送信することで、Eメールの誤送信による情報漏えいを防止することがPPAPの目的です。
PPAPは、「個人情報保護法」が制定された2005年頃から普及し始め、官民問わず多くの現場でセキュリティ対策の一環として利用されてきました。しかし2020年11月、政府が内閣府および内閣官房でPPAPを廃止する旨を発表して以降、民間企業の間でも脱PPAPの動きが広がりを見せています。
なぜ今、脱PPAPの流れが加速しているのでしょうか。次項からは、その理由や背景について、「セキュリティ面のリスク」と「運用面のリスク」の観点から解説していきます。
PPAPの問題点①セキュリティ面のリスク
PPAPのセキュリティ効果については、以前から有識者の間でも賛否が分かれており、特に情報セキュリティの専門家は「セキュリティ面で問題がある」と指摘していました。PPAPのセキュリティ面におけるリスクとして挙げられるのが、以下の3つです。
- セキュリティレベルが高くない
- ウイルス対策ソフトが見逃す可能性がある
- パスワードの入力回数制限がない
セキュリティレベルが低い
PPAPは「誤送信による情報漏えいの防止」を目的とする手法ですが、その実、セキュリティレベルは決して高いとは言えません。例えば、重要ファイルが添付された1通目のEメールを誤送信しても、それを受け取った相手はパスワードが記載された2通目を受信しなければファイルを開けません。これがPPAPの実施意図ですが、基本的に同じユーザーが同一の通信経路から送信するため、1通目を盗聴されてしまった場合、2通目も同様に盗聴されると考えられます。
ウイルス対策ソフトが見逃す可能性がある
暗号化されたZIPファイルに「Emotet」のようなマルウェアが仕込まれていた場合、一般的なセキュリティソフトによる検知・検出は非常に困難です。PPAPによって暗号化されたZIPファイルは、セキュリティソフトやウイルスチェックをすり抜けてしまうため、なりすましメールに添付された不正ファイルを開封してしまう可能性があります。つまり、安全のために用いたPPAPが、かえってセキュリティリスクを高めるという皮肉な結果につながる危険性があるのです。
パスワードの入力回数制限がない
セキュリティが強固なWebサイトの場合、パスワードの試行回数に制限があります。しかし、ZIPファイルのパスワードには入力回数の制限がなく、時間をかければ総当たり方式で突破できるため、十分なセキュリティ機能を有しているとは言い難いのが実情です。
現に、情報セキュリティメーカーのデジタルアーツ株式会社の実験では、一般購入可能なPCとオープンソースで入手できるソフトウェアを利用し、総当り方式を用いることで、6桁のパスワードを1秒未満で解読されています。
参考:https://www.daj.jp/security_reports/210623_1/
PPAPの問題点②運用面のリスク
続いては、PPAPの運用面におけるリスクについて見ていきましょう。運用面の主な問題点として挙げられるのは、以下の3つです。
- 対応できるデバイスが限定される
- アプリケーションをインストールしなければならないケースもある
- 誤送信のリスクがある
対応できるデバイスが限定される
PPAPによるZIPファイルのやり取りでは、デバイス間の問題で不具合が発生する可能性があります。例えば、ZIPファイルを展開できないデバイスもあるため、円滑な情報共有を阻害する原因になりかねません。また、Macで作成されたZIPファイルをWindowsで開くと、ファイル名が文字化けしていたり、上手く解凍できなかったりと、さまざまな問題が発生するケースもあります。このような問題があるうえに、セキュリティレベルも決して高くはないため、生産的と堅牢性の両面において非効率的と言えます。
アプリケーションをインストールしなければならないケースもある
ZIPファイルを展開できないデバイスや、MacとWindowsによるZIPファイルのやり取りを正常に行うためには、専用のアプリケーションをインストールしなくてはなりません。例えば、Macで作成したZIPファイルをWindowsに送信する場合、「WinArchiver Lite」という無料アプリケーションを利用することで文字化けを防げます。
しかし、ただでさえセキュリティの脆弱性が懸念されるPPAPに対し、こうした手間をかけるのは、生産性の観点から見て不毛と言わざるを得ません。
誤送信のリスクがある
先述したように、PPAPは誤送信による情報漏えいの防止を目的としており、1通目のEメールを誤送信しても、パスワードが記載された2通目を受信しなければファイルを開けません。しかし、1通目のEメールを誤送信したと仮定して、いかにして過ちに気づけばよいかは考慮されていないのが実情です。同一人物が同一回線から送信する以上、1通目の誤送信に気づくことなく、2通目も同じ相手に送信してしまう可能性が高いと言えます。
PPAPの問題点を克服する代替案とは?対策方法はある?
一方で有効な代替案がなく利用され続けたPPAPですが、最近になっていくつか代替案が提案されるようになってきました。ここからは、PPAPによる問題点の解決策と代替案について解説します。
ファイルとパスワードを別の手段で伝える
PPAPが抱えている問題点の解決策として挙げられるのが、ファイルとパスワードを別の手段で伝える方法です。例えば、ファイルはEメールによって送信し、パスワードは電話やチャットツールなどを用いて伝えることで、安全性を高められます。しかし、PPAPと比較して安全性は高まるものの、生産性の観点から見ると効率的ではありません。
クラウドストレージを利用する
PPAPの代替案としてもっともおすすめしたいのが、クラウドストレージによる情報共有です。クラウドストレージではアクセス権限を設定することで、情報を閲覧・編集できるユーザーを制限できます。ファイルに有効期限や受取回数制限などを設けることも可能ため、生産性とセキュリティの両面において優れた方法と言えるでしょう。また最近では使い勝手を高めたHENNGE DLPのようなメール添付ファイルを自動的にクラウドストレージに格納してくれるサービスも提供されています。
システム全体のセキュリティ強化の需要が高まっている背景とは
働き方改革の推進や新型コロナウイルスなどの影響も相まって、多くの企業では今、新しい時代に即した労働環境の構築が求められています。その要となるのが、「DX(デジタルトランスフォーメーション)の実現」です。
DXを実現するためには、優れたデジタル技術の活用が不可欠であり、同時に堅牢なセキュリティ体制を整備しなくてはなりません。テレワーク制度の確立やクラウドファーストの推進など、新しい時代に即したデジタルワークプレイスを構築するためにも、これまで以上に高度なセキュリティ体制が求められているのです。
まとめ
デジタル技術の発展とともにサイバー攻撃の脅威も高度化している現代において、PPAPによるファイル共有は時代遅れとなりつつあります。このような時代のなかで、企業の情報資産をさまざまな脅威から保護するためには、高度なセキュリティソリューションの導入や情報セキュリティガバナンスの整備が不可欠です。PPAPから脱却し、セキュアな情報共有基盤を構築するためにも、クラウドセキュリティサービス「HENNGE One」の導入を検討してみてはいかがでしょうか。
- カテゴリ:
- メールセキュリティ