「PPAP」は、過去に国内で広く浸透していたセキュリティ対策の1つでしたが、近年そのリスクや脆弱性が問題視され、多くの企業でセキュリティ対策の見直しや、代替手段への移行が検討されています。本記事では、PPAPのセキュリティ品質の問題点に加え、クラウド型グループウェアなどの代替手段について紹介します。
PPAP方式とは
「PPAP」とは、パスワード付きのZIP暗号化ファイルと、開封用パスワードを2回に分けて送信する、過去に広く普及していたセキュリティ対策の1つです。PPAPという名前は、以下の頭文字を取って付けられています。
「P」:Password付きZIPファイルの送信
「P」:Passwordの送信
「A」:Angoka(暗号化)
「P」:Protocol(手順)
PPAPは、パスワードを知っている人しかファイルを開けないため、たとえ誤送信したとしても開封されず、セキュリティ対策として有効であると考えられてきました。そのため、これまで多くの大手企業だけでなく、行政機関までが広く採用してきました。
この方法が有効だと考えられていたのは、当初パスワードを電話やFAXで送ることを想定していたからです。しかし実際は、業務上のコストや効率面から、パスワードはメールで送られることがほとんどだったため、セキュリティ対策としての脆弱性やリスクが明るみになってきたのです。
PPAP方式のセキュリティ品質面の問題
ここからは、PPAPが抱えるセキュリティ面の問題について詳しく見ていきましょう。
情報漏えいを防ぎきれない
PPAPの最大の問題点は、情報漏えいを防ぎきれないことです。暗号化したZIPファイルと、パスワードを記したメールは同じ宛先に送られることが多いので、万が一誤送信した場合、第三者にファイルを開かれる恐れがあります。
また、ZIPファイルのパスワードを解析するツールも出回っているため、たとえ添付したファイルのパスワードがわからなかったとしても、開封される可能性は否めません。添付したファイルがメールでやり取りされていると、常に情報漏えいのリスクがつきまとってしまうのです。
サイバー攻撃に利用される可能性がある
近年、アカウント乗っ取りなどを行うマルウェアの種類が増えており、手口も巧妙になっています。それに対し、企業はさまざまなセキュリティ対策を講じていますが、残念ながら既存のウイルス対策ソフトでは、暗号化して添付されたZIPファイルまではチェックの対象になりません。
そのため、ZIPファイルがウイルスに感染していても、セキュリティソフトのチェックをかいくぐって、相手に届いてしまいます。それにより、ウイルスに感染したファイルを受信者が知らずに開いてしまい、アカウントが乗っ取られるなどの被害に遭うケースが多発しています。
パスワードが解析・予測されやすい
暗号化ZIPファイルのパスワードは、送信者が自身で設定するため、数度に渡って使い回していたり、日付など予想されやすいパスワードを設定していたりすることが少なくありません。パスワードを設定しているからといって油断していると、知らない間にパスワードを解析され、ファイルを開かれてしまう可能性は充分に考えられるのです。
誤送信対策は別途考慮する必要がある
PPAPでZIP暗号化ファイルとパスワードを別々のメールで送るのは、誤送信対策の一面もありました。しかし最近では、「そもそも誤送信対策として本質的に有効ではない」という見方が主流になっています。
というのも、ファイルとパスワードを同じメールアドレスに送るため、パスワードを送る前に誤送信に気づかなければ意味がないからです。もし、気づかずに2通とも誤送信してしまった場合、第三者がファイルを開けられるようになり、セキュリティ対策としてはまったく無効なものになってしまいます。
送信者・受信者の工数が増大する
PPAPのデメリットは、運用面にあります。送信者側はメール添付の際、パスワードの作成や設定を行わなければならず、受信者側もメールを開封するたびにパスワードの入力が必要になるなど、送信者・受信者の双方に工数が発生し手間がかかります。
1~2通であればさほど負担にはならないかもしれませんが、開封しなければならないデータが大量にある場合は、パスワードの設定や入力に時間を取られ、本来の業務の進行を妨げてしまう恐れもあります。
PPAPの代替手段となるツールや方式
PPAPの問題点が明るみになってきた現在、PPAPを廃止する動きが進んでいます。2020年11月の会見にて、内閣府・内閣官房におけるパスワード付きZIPファイルの使用禁止が発表されたことを皮切りに、上場企業も続々と追随しており、今後もこの流れは加速していくでしょう。
では、PPAPに代わる手段としては、一体どのようなツールや方式があるのでしょうか。以下で詳しく紹介します。
オンラインストレージの活用
PPAPに代わり、ファイルをやり取りする方法として注目されているものの1つが、「オンラインストレージ」です。オンラインストレージとは、オンラインサーバーに画像やファイルをアップし、サイトのURLにアクセスすることでデータを共有できるサービスです。別名「クラウドストレージ」とも呼ばれています。
オンラインストレージは個人・法人問わず誰でも利用でき、メールでは送受信に時間のかかかる重いデータや大量のデータでも、手軽にやり取り可能になるなどのメリットがあります。
一方、インターネット上でファイルをやり取りするため、不正アクセスによる情報漏えいといったセキュリティ面でのリスクがあるほか、サーバーがダウンするとデータが消失してしまう危険もあります。こうしたリスクに対し、ベンダー側も監視を強化するシステムを構築したり、データにアクセスできるユーザーに制限をかけたりと、さまざまな対策を講じています。
オンラインサービスを利用する場合は、ベンダー各社のセキュリティ対策をよくチェックしたうえで、事業者を決めるとよいでしょう。また、万が一サーバーが停止したときのことを考え、データはバックアップを取っておくことをおすすめします。
グループウェアの活用
「グループウェア」とは、企業や組織内のコンピューターネットワークを利用し、情報共有を行うアプリケーションのことです。現在、主流となっているのは「クラウド型」で、オンライン上でデータを共有・管理します。
クラウド型グループウェアのメリットとしては、初期投資が少なく済むうえ、インフラの運用や管理が不要で、時間と場所を選ばずアクセスできる点も挙げられます。一方、データを社内で管理・保管するのではなく、ベンダーの保有するデータセンターに預けるため、セキュリティ面はベンダー依存となる点が不安要素です。
グループウェアのベンダーを選ぶ際は、国内にデータセンターがあるか、不正アクセス防止のため多要素認証を採用しているか、監査ログ機能があるかなど、万全のセキュリティ対策が講じられているかどうか事前によくチェックするようにしましょう。
まとめ
本文で述べたように、現在ではPPAPのセキュリティ品質にさまざまな問題があることがわかってきました。多くの企業でPPAPは廃止され始めており、今後は別のセキュリティ対策に変わっていくと考えられます。
PPAPの代替手段としては、オンラインストレージやクラウド型グループウェアなど、ネット上でデータをやり取りする方法が主流になってゆくでしょう。その際、懸念事項となるのがセキュリティ対策です。自社の手を離れた場所でデータが管理されるため、セキュリティ対策はより強固なものが必要となります。
「HENNGE One」は、Microsoft 365やGoogle Workspace、BoxやLINE WORKSなど、さまざまなクラウドサービスに対応できるSaaS認証基盤です。また、IdPだけでなく誤送信対策やメール監査など、Eメールに対するセキュリティ対策も同時に提供しています。今後、データのやり取りにおいて、よりセキュリティ対策を強化したい企業様は、ぜひ導入をご検討ください。
