PPAPはなぜ危険?具体的な対策も解説します
メールで外部とデータのやり取りをする際に、ファイルをパスワード付ZIPファイルにして送付し、別のメールでパスワードを送る「PPAP」。
誰でも簡単に実行できるセキュリティ対策として慣例的に実施してきた企業様も多いこの方法ですが、実は危険だと指摘され、近年は見直されています。
しかし危険だとは言っても、具体的に何が危険なのか、どんな対策を取ればいいのかは全社を挙げて共有・実行しなくてはならず、悩んでしまいますよね。
今回は、そんな悩める情シス担当者様に向けて、PPAPの問題点や対策方法について解説します。
PPAPとは
PPAPとは「メール添付でパスワード付きZIPファイルを送り、あとから別のメールで解凍パスワードを送る」ファイル共有方法です。
「P」Password付きZIPファイルを送る
「P」Passwordを送る
「A」暗号化
「P」Protocol
の頭文字をとった言葉です。
PPAPの問題点に警鐘を鳴らすべく、日本情報経済社会推進協会に所属していた大泰司章氏により2019年に命名されました。
PPAPを用いたファイル共有はさまざまな企業が採用していた方法ですが、日本政府もその危険性から2020年に廃止を発表し、問題点が取り沙汰されるようになりました。
PPAPはなぜ問題なのか
PPAPには、具体的にセキュリティ上の問題と、さらには業務上の生産効率の問題が存在します。ここでは、問題点を深堀りしていきましょう。
ウイルス感染の可能性
最も重大なリスクが、ウイルス感染リスクです。
実は暗号化されたZIPファイルは、ウイルス対策ソフトで受信時にウイルスチェックをすることができません。
最近では、パスワード付きZIPファイルがセキュリティソフトのチェックをすり抜けて届き、受信者がそのファイルを解凍する際に感染してしまう「Emotet」というマルウェアが2019年に世界規模で拡大し、その後も被害が拡大しています。
PPAPは、マルウェア感染のリスクとマルウェアによる情報漏えいの温床となり、被害を拡大させる恐れがあります。
メール盗聴の可能性
PPAPでは、暗号化ファイルとパスワードを同一経路のメールで送付します。そのため、攻撃者によってメールの通信が盗聴された場合、1通目のファイルも2通目のパスワードも攻撃者の手に渡ってしまい、機密ファイルを容易に見られてしまう可能性があります。
こうなってしまうと、ファイルとパスワードを別々に送る方法にはメリットがないと言えます。
パスワード解析の可能性
仮にパスワード自体が漏れなかったとしても、ZIPファイルのパスワード自体のセキュリティにも懸念があります。
ZIPファイルのパスワード入力には回数制限がなく、何度でもパターンを試すことができてしまいます。
さらにはZIPファイルにかけたパスワードを解析できる無料ツールも存在しており、時間さえあれば突破されてしまいます。
誤送信の可能性
PPAPは人が実行するものなので、ヒューマンエラーが発生する可能性はゼロにはなりません。初めのファイル添付メールを誤った宛先に送信した場合、気付かずに同じアドレスにパスワードも送ってしまう可能性が高いでしょう。
誤送信の内容によっては、重大な情報漏洩につながります。PPAPでは誤送信を防ぐことはできません。
送受信の手間も増える
PPAPにはセキュリティの問題だけでなく、非効率的で業務上の手間が増えるという問題点もあります。
送信者はパスワードを発行し、2通に分けてメールを送信しなければなりません。
もっと手間がかかるのは受信者で、ファイルを開く際にパスワードを使用するだけでなく、後からでも開けるようにそのパスワードをファイルごとに管理する必要も発生するかもしれません。
また、外出時にスマートフォンなどでメール確認をしたい場合にも、専用アプリケーションがなければZIPファイルを解凍できないなどの弊害が発生します。
PPAP対策の社会的動き
このように問題点が多いPPAP、日本政府が2020年に廃止を発表したことは先に少し触れましたが、実は海外ではそもそも浸透していない文化なのだそうで、むしろメールで送られたZIPファイルはセキュリティリスクが高い、という認識が強いようです。
一方で日本ではセキュリティ対策として有効であるという間違った認識のもと、官民で広く根付いてしまいました。
状況が変化したのは2020年11月、国民からデジタル改革のアイデアを募る「デジタル改革アイデアボックス」にPPAPの廃止を求める意見が集まったことで、当時の平井卓也デジタル改革相が中央省庁でPPAPを廃止する方針を発表したことがきっかけでした。
これに続いて、文部科学省も2022年1月4日以降にPPAPからクラウドストレージを利用する仕組みにすると発表しています。また国内の多くの企業もPPAP廃止の意向を示しています(※)。メールでのZIPファイルの受け取りを拒否する方針を示す企業も現れるなど「PPAPをしない・させない」動きが強まっています。
※参考:サイバーソリューションズ株式会社「企業のメールセキュリティへの取り組みに関するアンケート調査」
脱PPAPを実現する対策3選
セキュリティリスクを回避するために、PPAPに代わるファイル共有方法を採用する企業様が増加しています。ここでは、どのような方法で脱PPAPを実現することができるのか、その対策をご紹介します。
ファイルとパスワードを異なる手段で送る
1つ目の対策は、ファイルとパスワードを異なる手段で送ることです。
例えばファイルはメールで送り、パスワードはSMSやチャットなどといった別の手段で伝えるようにします。同じ通信でない分、パスワードを盗聴されるリスクが下がります。
しかしこの場合も、ZIPファイルを添付する場合にウイルスチェックが効かないデメリットや、ファイル自体が盗み取られるリスクはPPAPと変わりませんので、有効な手段とは言えません。
ファイル転送サービスを利用する
2つ目の対策は、ファイル転送サービスを利用することです。
ファイル転送サービスは、特定のファイルをオンライン上にアップして、生成されたURLを相手に送ってファイルをダウンロードしてもらうことができるサービスです。
それぞれのファイルには保存期間が設定され、長期的にアップしておくことはできませんが、大容量ファイルもアップすることができ、一時的なファイルのやり取りには便利です。
注意すべきポイントとしては、データを外部サーバーにアップするため、100%安全とは言えない点です。またログの管理ができないものも多いので、万が一情報流出が発生した場合にどこから情報が漏れたのか分析することが難しい点もデメリットと言えるでしょう。
実際にとあるファイル転送サービスで480万件の個人情報が流出する事件も発生したこともあり、当時大きなニュースになりました。
オンラインストレージを利用する
3つ目の対策は、オンラインストレージを利用することです。
オンラインストレージは、インターネット上に設けられたデータ格納スペースです。One Driveやbox、Googleドライブなどが代表的なサービスとして挙げられます。
ファイル転送サービスと似た用途で使用されますが、本来はファイルの送受信ではなく、ファイルの保管場所を提供するサービスです。
オンラインストレージを利用してファイル共有を行う際には、ファイルをアップしてその置き場所(リンク)を共有します。受信者はリンク先にアクセスしてデータを閲覧・ダウンロードすることができます。サービスによっては、その場でファイルを編集できる機能が付いているものもあります。
オンラインストレージがファイル転送サービスと異なる点は、ファイルの長期管理が可能なことと、関連するファイルの一元管理ができる点です。ファイルの送付先にアクセス権を付与することで常に同じ共有場所でやり取りできるため、共有するファイルが多い・期間が長いプロジェクトにはオンラインストレージの方が向いていると言えるでしょう。
もちろんサーバー外にデータを格納することには変わりがありませんので、導入の際にはセキュリティ面で安心できるサービスを選ぶことが大切です。
また、有料サービスが多い分、サービス内容もミニマムなものから多機能なものまでさまざまです。自社の活用方法に合わせてサービスを選択する必要があります。
PPAP対策を実施するメリット
PPAPの問題点を解消する対策は、企業にとってマイナスとなるリスクを軽減するだけでなく、実際に以下のようなメリットももたらします。
リスクを減らす
ファイル転送サービスやオンラインストレージを利用することで、メールにZIPファイルを添付することがなくなり、ファイルのマルウェア感染リスクやZIPファイルの解読による情報漏洩を防ぐことができます。
自社はもちろん、データ受信をする取引先にとってもセキュリティリスクが下がることにつながります。
手間を減らす
PPAP廃止は、セキュリティだけでなく業務効率化にもつながります。送信者はファイル暗号化とパスワード設定の手間が減り、受信者側はファイル解凍やパスワード管理の手間が省けます。
安全になり、かつ楽になるという点で、実行する社員にとっても導入を理解してもらいやすくなるメリットです。
PPAP対策に有効な「Media KU-MO」
この記事では、PPAPの問題点と対策について解説しました。
YPGでは、安全なファイル管理・共有が可能なクラウドストレージサービス「Media KU-MO」をご用意しております。ファイル共有・閲覧に特化した比較的ミニマムなオンラインストレージに、ファイル送信機能が付随したサービスです。
●クラウド上でファイルが共有可能で、社内や頻繁にやり取りする取引先とのファイル共有に便利です
●クラウド上のデータを第三者にも送付できるデータ送付機能(ゲストダウンロード機能)付きです
●専用ソフトなしでデータをプレビューでき、特にAIやCAD等を扱うデザイナー様・メーカー様に好評です
使用感が難しくなく、手軽に始めやすいストレージサービスとして評価いただいております。オンラインデモも可能ですので、ご検討の際にはぜひお気軽にご相談ください。