Eメールにおけるファイル送受信のセキュリティ対策として知られる「PPAP」は多くの企業で利用されていますが、政府が利用の取りやめを発表するなど、その課題も明らかになっています。そこで本記事では、PPAPの概要や問題点について解説します。また、PPAPに代わるファイル共有手段も併せて紹介しますので、ぜひ参考にしてください。
PPAPの意味
「PPAP」とは、電子メールによるファイル送受信の安全性を高めるための手法です。PPAPという名称は、「Password付きZIPファイルを送る」「Passwordを送る」「暗号化する(Angoka /暗号化)する」「Protocol(プロトコル)」の頭文字に由来しています。この名称からも示唆されるように、PPAPにおいては、まずパスワードでロックされたZIPファイルを先便で送り、次のメールにてパスワードを送信します。
PPAPの目的は、誤送信や情報漏えいを防止することです。つまり、ZIP付きのメールを誤った相手に送信してしまったとしても、受信者はパスワードを知らないのでファイルを開けません。逆に、パスワードだけを知ったとしても、肝心のファイルがなければ当然意味がありません。PPAPは日本独自のセキュリティ対策として、2011年頃から政府や企業で用いられるようになりました。
PPAPについて知るべき理由
上記のように、PPAPは長らく政府や多くの企業が活用してきました。しかし今日、PPAPは悪い意味で注目を集めています。というのも、詳しくは後述しますが、PPAPにはセキュリティ上の欠陥や運用上の問題点が懸念されており、ついには近年、日本政府が官公庁において今後PPAPの利用を廃止することを公表したからです。これにより、PPAPの欠点は今や世間でも広く知れ渡っています。
企業の責任としてセキュリティコンプライアンスを遵守するためにも、PPAPを使用あるいは導入を検討している企業は、盲目的にPPAPを使用し続けることを控え、その問題点の把握と対策に努めなくてはいけません。
PPAPの問題点・セキュリティリスク
では、PPAPの問題点やセキュリティリスクとは、具体的にどのようなことを指すのでしょうか。以下では、これらの点について解説していきます。
受信者の負担
PPAPの運用上の問題として、まず「受信者の負担の重さ」が挙げられます。PPAPの利用において、受信者はZIPファイルとパスワードの2つを第三者に漏れないよう適切に管理する必要があります。また、ZIPファイルをやり取りするたびに端末にデータをダウンロードする必要があり、多くのスマートデバイスではデータを閲覧できないという点でも昨今の働き方では負担となってきます。
ウイルスのリスク
PPAPには、いわゆるコンピューターウイルスへの対策として重大な欠陥があるのも見過ごせません。コンピューターウイルスないしマルウェアは、感染したPCと紐づいたシステムやネットワークに障害を起こすことで知られており、その対策は常に企業にとって大きな課題となっています。
しかし実は、PPAPで利用するパスワード付きのZIPファイルは、たとえウイルスに感染していたとしても、それを検知するための対策ソフトのチェックをすり抜けてしまうのです。もし、ZIPファイルを介してメール受信者のPCがウイルスに感染してしまえば、ネットワークでつながっているほかのPCやシステムに重大な障害をもたらしたリ、機密情報が漏えいしたりするなどの被害が生じかねません。それゆえウイルス対策の観点からも、PPAPの利用は避けるべきと言われています。
セキュリティ対策としての問題
すでにご説明したように、PPAPはメールの誤送信や情報漏えい対策を目的として利用されるものですが、そもそもこの部分の効果についても疑問が持たれています。
まず、PPAPは誤送信そのものを防ぐ対策ではありません。たとえ暗号化されたZIPファイルだけだとしても、誤った相手に重要ファイルが送信されてしまうリスクは依然として残ったままです。また、ZIPファイルに施された暗号も、多くの場合は総当たりで解読できるような単純なものに設定されています。そのため、たとえ暗号の情報を持っていなくても、無関係の第三者(あるいは悪意ある第三者)がファイルを開封してしまう可能性は否定できません。
しかも、メールを2回に分けて送信するといっても、実際の運用においては、先便で使った送信先アドレスをコピペして使ったり、メールの返信機能を使ったりして、特にチェックすることなく同じアドレスにメール送ってしまう場合も間々あるでしょう。つまり、人為ミスなどで同じ相手にZIPファイルとパスワードの両方を誤送信してしまうリスクを完全には防げないのです。このような理由から、PPAPはセキュリティ対策としての実効性を疑問視されています。
PPAPを取り巻く動き
上記の事情から、近年ではPPAPを取り巻く環境に変化が起きています。まず2020年11月に、平井卓也デジタル改革担当大臣(当時)が、内閣府においてPPAP方式の外部へのファイル送信を今後行わないことを公表しました。この決定は、政府の設置した目安箱的なサイト「デジタル改革アイデアボックス」に多数寄せられた意見に基づいたものです。なお、政府はPPAPの代替手段候補として、クラウドストレージの活用を例に挙げています。
政府のこの決定を受けて、ますますPPAPの危険性が知れ渡る中、大手IT企業の日立製作所も2021年度からPPAPを全面禁止することを明らかにしました。同社は今後、ファイル共有においてクラウドサービスの活用を進めるとされています。このように、政府や大手企業が相次いでPPAPの廃止を決めたことを受け、PPAPの運用を見直す動きは大きく広がりつつあります。
PPAP問題への対策
PPAP問題への対策として、企業はどのようなことに取り組めばよいのでしょうか。以下では、PPAPの代替手段について解説します。
メールのセキュリティ強化
ファイル共有の仕方をメールの送受信に限定せざるを得ないなら、メールのセキュリティ強化を図るのが必須です。その具体的な手段としては、例えば「S/MIME」が挙げられます。
S/MIME(Secure/Multipurpose Internet Mail Extensions)とは、電子メールを暗号化するための技術です。S/MIMEは、非対称暗号方式を採用しており、不要なアクセスから電子メールを保護します。また、電子メールにデジタル署名を施すことで、ユーザーがメッセージの正当な送信者であることを確認できるため、多くのフィッシング攻撃に対する有効な武器となります。
メール以外の連絡・転送サービスを活用
メール以外の手段も候補に挙げられるなら、チャットツールやファイル転送サービスなどを代替手段として活用するのもおすすめです。チャットツールのダイレクトメッセージ機能を使えば、特定の相手にだけファイルを送れます。とはいえ、チャットツールにも誤送信リスクはあるため、「メールに比べてどの程度セキュリティを担保できるか」が課題です。
一方のファイル転送サービスは、ファイルをクラウドサービスに保存し、そのURLや認証キーを受信者に伝えることで、セキュアにファイルを受け渡しできるサービスです。
クラウドストレージでファイル共有
セキュリティのしっかりしたクラウドストレージにファイルを保存し、そこでファイル共有するのも有力な手法です。自社で利用しているクラウドストレージなら、セキュリティの設定を主体的に調整しながら利便性の確保も実現します。また、ファイルの編集権限を相手に与えれば、クラウド上で直接修正作業などをしてもらうことも可能です。
まとめ
PPAPは、セキュリティや運用上の問題から政府や大手企業が廃止を決定するなど、利用を見直す動きが広がっています。企業は自社の重要な情報を保護するため、ファイル共有の仕方を再考しなければなりません。
本稿ではさまざまな脱PPAP対策を紹介しましたが、それぞれには一長一短があり用途によって組み合わせる必要があります。個別での対策が難しい場合はHENNGE DLPのようなソリューションの活用も検討してみてはいかがでしょうか。
HENNGE DLPはクラウドストレージへのシングルサインオンや多要素認証による保護、大容量ファイル転送ツールを提供しているほか、メール添付ファイルを自動的にクラウドストレージにアップロードしてURLを相手先に送る機能も備えています。PPAP問題への対策を検討中の企業様は、ぜひ導入をご検討ください。
- カテゴリ:
- メールセキュリティ