eTransporter
PPAPは何が問題?有効な対策について解説!
eメールでのファイルの送受信には、これまでセキュリティ対策としてPPAP(パスワード付きZipファイルと、そのパスワードを別送する方法)を採用する企業が多数ありました。
しかし現在では、PPAPのセキュリティ面での脆弱さが指摘されています。
今回はPPAPの問題点や、PPAPに代わる有効な対策について紹介します。
PPAPとは?
「PPAP」とは、eメールでファイルを送受信する際に使うセキュリティ対策の略語です。2011年以降、日本の政府・数多くの企業で実践されてきました。PPAPは、当時流行していたピコ太郎さんの楽曲のタイトルになぞらえて名付けられたものです。
P…パスワード(password)付きzipファイルを送ります
P…パスワード(password)を送ります
A…暗号(angou)化
P…プロトコル(protocol、手順のこと)
具体的には、送信ファイルをZip形式で圧縮し暗号化、パスワードをかけたファイルをメールに添付します。それとは別メールでパスワードを送信するという手法です。
しかし、このPPAPは専門家からセキュリティ上の問題が指摘され続けていました。それにもかかわらず、長く使われていたのには2つの理由があります。
- 誤送信による情報漏洩を防げる
- 企業のセキュリティ認証の審査に通りやすいと誤解されていた
PPAPでは、1通目で送信したファイルを開くために2通目でパスワードを送ります。つまり、1通目でファイルを誤送信してしまったとしても、誤送信に気付いて2通目を同じ相手に送信しなければ、ファイルが開かれることはありません。そのため、PPAPは誤送信による情報漏洩リスクを排除できると考えられてきたのです。本来であればパスワードはSMSや電話といった別の方法で伝える必要がありますが、2回に分けてメールを送れば問題ないという解釈がなされてしまったため、セキュリティ対策として十分な効果がないという問題が発生しています。
また、PPAPはプライバシーマーク制度(以下Pマーク)や、ISMSといったセキュリティ認証の審査に通りやすいと誤解されてきました。
どちらの認証も、審査に通るためにはメールでファイルを送受信する際のセキュリティ対策を講じる必要があります。特にPマークに関しては、適切なセキュリティ対策として「データの暗号化・パスワード設定」という表現をしていたため、PPAP方式が推奨されていると誤解されたのです。(実際は推奨されていません)
このような背景もあって長く使われ続けてきたPPAPですが、2020年11月24日、ついにデジタル庁が「内閣府のメール送受信にPPAPを使用しないこと」を発表しました。この内閣府の動きは、一般企業にも影響を与えることは間違いないでしょう。
PPAPの問題点
内閣府の決定に影響されて、一般企業が安易にPPAPを廃止することはおすすめできません。まず、PPAPの問題点を正しく把握し、どのように問題解決すればよいかを検討する必要があります。そのうえで、自社にとって有効なセキュリティ対策を講じるべきです。
・受信者側に負担がかかる
PPAPはファイルの受信側に大きな負担がかかります。まず、パスワード付きZipファイルを受信すると、ファイルごとにセットされたパスワードを管理しなければなりません。また、ファイルを開くたびにパスワードの入力が必要になるため、手間がかかります。
頻繁に送受信する間柄であれば、PPAPの使用は受信側の生産性の低下につながるでしょう。つまり、ファイルの送受信におけるセキュリティ対策を考える場合、できる限り受信者の負担が少なくて済む手法を考える必要があります。
・セキュリティに不安がある
PPAPのセキュリティを担保する要素の1つは「ファイルの暗号化」です。しかし、そこに落とし穴があります。通常、eメールは受信者に届くまでにメール転送エージェントを介しますが、この間の通信においてはファイルが暗号化されるとは限りません。
つまり、暗号化されていないファイルが転送エージェントを介する過程で、盗聴されるリスクがあるのです。
また、Zipファイルに設定するパスワード自体も、一般的なツールを使って短時間で解析できる程度の強度であることから、セキュリティの脆弱性が指摘されています。
・ウィルスチェックができない
PPAPの問題点の中で最も深刻なのが、ウィルスチェックができないことです。企業はセキュリティ対策ソフトを導入していますが、通常のセキュリティ対策ソフトでは、パスワード付きZipファイルのウィルスチェックをできない場合があります。
攻撃者もそのことを知っているため、パスワード付きZipファイルの送受信を行っている企業が狙われることは想像に難くありません。実際に、パスワード付きZipファイルの受信者がファイルを解凍する際に感染してしまうマルウェア「Emotet」の被害も、世界中で報告されています。
その流れを受けて、パスワード付きZipファイルの受信を拒否する企業が増えているのも事実です。各企業は今後、パスワード付きZipファイルが相手企業からブロックされてしまうことも想定し、新しいセキュリティ対策の導入を検討する必要があるでしょう。
PPAPに変わる対策
・クラウドストレージのファイル共有を利用する
送受信したいデータをクラウドストレージに保存・共有する方法は、非常に有効なセキュリティ対策といえます。クラウドストレージを利用すれば、共有者の指定などフォルダへのアクセス権を管理できるため、十分なセキュリティ対策が可能です。
クラウドストレージのファイル共有には、他にも以下のようなメリットがあります。
- 1回のメール送信で済む(リンクを送るだけ)
- 送信ファイルの容量に限界がない
- 受信者との共同編集が可能
- 送信者・受信者どちらかのハードウェアがウイルス感染してもファイルは安全
・メールを暗号化する
より強固なセキュリティ対策を講じるなら、メールそのものを暗号化することがおすすめです。たとえば、S/MIME(Secure / Multipurpose Internet Mail Extensions)のような暗号化方式を使えば、メール送受信におけるセキュリティレベルを高めることができます。
S/MIMEでは電子証明書(電子契約における本人証明書類のようなもの)を用いるため、送信者のなりすまし・ファイルの改ざん防止も可能です。
ただし、送信側・受信側の双方が暗号化方式のシステムを導入しなければ使えないのがデメリットといえます。
・法人向けファイル転送サービスを利用する
セキュリティリスクに敏感な企業が利用しているのが、法人向けファイル転送サービスです。法人向けファイル転送では以下のセキュリティ対策が可能になります。
- 通信の暗号化
- 送信権限の制限
- 受信相手のアドレス制限
- 高速転送
- 転送内容の履歴管理
- 転送エラー時の再配信
操作が難しいと感じて導入を躊躇している企業も多いようです。しかし、操作性の良いユーザーインターフェースを有するサービスを選べば、社員の誰もが簡単に扱うことができます。
また、「従来の無料ファイル転送サービスを利用すればいいのでは?」という声も聞こえてきそうですが、それらはセキュリティに関して情報開示されていないものが多く、機密情報・個人情報を送信するには適していないといえます。
法人向けのファイル転送サービスは有料になります。しかし、従来のファイル転送サービスの抱える不安を解消できる機能がパーフェクトに揃っているため、PPAPに代わる手法として最も検討する価値があるものといえるでしょう。
まとめ
企業が誤送信によるデータ流出・ウイルス感染のリスクを回避したいなら、法人向けファイル転送サービスの導入がおすすめです。
企業間で「簡単・安全」に送受信できるファイル転送システムをお探しであれば、大容量ファイルや機密性の高いデータを扱える「eTransporter」にお任せください。多くの官公庁・自治体・企業様よりご好評をいただいております。安心・安全な業務データの送受信のために、ぜひ「eTransporter」の導入をご検討ください。