昨今の企業のセキュリティ対策で”PPAP”の是非が議論されるようになっています。”PPAP”とは日本情報経済社会推進協会(JIPDEC)の大泰司章氏がタレントのピコ太郎氏のお笑いネタをもじって提唱した、企業でよく利用されるメール添付ファイルのZIP暗号化を揶揄した言葉です。
ユーザーの手間やセキュリティ上の有効性など、疑問視されることも多い”PPAP”ですが、見落とされがちな利点もあります。今回はメール添付ファイルZIP暗号化、”PPAP”の有効性と、懸念点の解消方法をご紹介します。
そもそもPPAPとは?
最近情報システム関連のコラムでも取り上げられることも増えているPPAP問題。ではそもそもPPAPとはどのようなものでしょうか。提唱者の大泰司章氏によればPPAPとは
- P:パスワード付ZIP暗号化ファイルを送ります。
- P:パスワードを送ります。
- A:暗号化
- P:プロトコル(手順)
という多くの企業がセキュリティポリシーとして定めている各種ファイルのメール送信ルールを指します。一見無駄な手間がかかる作業にも見えますが、2012年にはIPA(情報処理推進機構)が発行した「電子メール利用時の危険対策のしおり」でもこの手法が推奨されるなど、個人情報保護の重要性が高まりを背景に多くの企業で採用されるようになりました。
また、他にも多くの企業がPPAPを採用するのには理由があり、そのうちの一つがセキュリティに関する外部認証の存在です。著名な個人情報保護の外部認証であるPマークを取得している企業も増えていますが、Pマークの審査機関の1つである「情報サービス産業協会」では、審査項目として「個人情報を含む添付ファイルを取り扱う際に、セキュリティ対策(データの暗号化、パスワード設定など)の措置を講じること」と明記しています。
ZIP暗号化は有効な対策か?
このように個人情報漏洩対策として多くの企業で採用されてきたPPAPですが、最近では時代遅れのセキュリティ対策として批判されることも増えています。PPAPが批判される理由は大きく分類すると下記となります。
- 送信者/受信者双方に手間が発生する
- 暗号化されたファイルとパスワードが同一の経路を通過するため、機密性が保たれない
- 添付ファイルが暗号化されていることで、受信側のスパムフィルタをすり抜けてしまう
これらの批判はいずれもまっとうではありますが、一方でZIP暗号化には見落とされがちな「なくならない理由」もあります。
なくならないZIP暗号化とその理由
多くの企業ではそれぞれの業務に応じてセキュリティポリシーを策定しており、前述のPマークやISMSなどに準拠するように策定されているケースも多数あります。また、昨今ではサイバー攻撃の標的として大手企業のみならず、そのサプライチェーンを担う中小企業が踏み台として標的にされるケースも増えているため、サプライチェーン全体でセキュリティポリシー基準を策定しているケースも増えています。
これらのセキュリティポリシーは本来時代の変化に合わせて都度見直されるべきではありますが、実際には考慮すべき事項も多く、改定には長い期間がかかります。
また、添付ファイルの保護についてはZIP暗号化に代わる有効な代替策もないため、現実的には多くの企業が使い続けざるを得ないという側面もあります。
ZIP暗号化の効果/効率を上げるメール誤送信対策サービスの利用
ZIP暗号化を実施する際に少しでも効果/効率を上げるためには、HENNGE Oneのようなメール誤送信対策サービスの活用がおすすめです。メール誤送信対策サービスには送信メールに添付ファイルがあった場合には自動的にZIP暗号化して送付し、パスワード通知メールを別送する機能が備わっています。これにより下記のようなメリットが得られます。
- ZIP暗号化の自動化によるユーザーの工数削減
- パスワードの複雑性を担保できる(手動の場合は単純になりがち)
- 社内ルールを例外なく適用できる
また、ZIP暗号化する/しないは様々な条件によって設定可能ですので、”特定の取引先への送信はZIP暗号化しない””ZIP暗号化した場合の拡張子を.zi_にしたい”といった要件にも対応が可能です。
まとめ
今回はPPAPとも称される添付ファイルZIP暗号化についてご紹介しました。ただ、本来の目的である情報漏洩対策に立ち返ってみると、本来は添付ファイルZIP暗号化だけではなく企業文化や自社、取引先のセキュリティポリシーに併せて様々な対策を組み合わせて実施することが必要です。
HENNGEではメールの一時保留や第三者による確認、送信停止、添付ファイル暗号化機能など、メールセキュリティに必要な機能を網羅したHENNGE Oneを提供しています。個人情報漏洩対策に、このようなセキュリティ対策を取り入れてみてはいかがでしょうか。
