PPAPへの対策には何がある?問題点に対する代替案・対応策を紹介
仕事上でメールのやりとりをする際、PPAPはセキュリティ対策の一貫で使用されることが多いです。
しかし、PPAPを廃止するという政府の表明をきっかけに、多くの企業がPPAPの利用を止めています。
この記事では、法務や情報管理の責任者に向けて、PPAPの概要や問題、政府の働きかけなどを解説します。
また、この記事の後半部分では、PPAP対策として効果的な取り組みをまとめましたので、ぜひ最後までご覧ください。
PPAPとは
PPAPとは、次の言葉の頭文字を取って作られた造語です。
パスワード付きファイルをメールで送った後に別のメールでパスワードを送る工程を指し、主に社外とのやり取りで用いられます。
- Password:パスワード付きファイルの送付
- Password:パスワードの送付
- Angouka:暗号化
- Protocol:プロトコル
PPAPは、ファイルをメールに添付して送る際の盗聴防止のために使用されます。
個人情報保護法が2005年に適用された頃からPPAPを使う企業が増加し、安全なファイル送信の方法の1つとして浸透してきました。
PPAP問題とは
現代において、PPAPの使用に問題があるとされている理由は2つです。
- セキュリティリスク
- 業務効率の低下
それぞれ、詳しく見ていきましょう。
セキュリティリスク
PPAPにおけるセキュリティリスクは主に2つあります。
盗聴と誤送信
PPAPで送る2通のメールは、どちらも同じ経路をたどります。
どちらかのメールを盗聴できれば、もう片方のメールも盗聴できてしまいます。
また、可能性は低いですが、1つの内容に対して2通のメールを送るため、誤送信のリスクもあるのです。
マルウェア
「マルウェア」とは、悪意を持ったソフトウェアの総称です。
PPAP問題では、2014年に初めて検出されたEmotet(エモテット)が多く引き合いに出されますが、2020年にもIcedID(アイスドアイディー)と呼ばれる、Emotetに類似したマルウェアが発見されています。
セキュリティソフトは添付ファイルをウィルスチェックできますが、PPAPの添付ファイルには作動しない可能性があります。
パスワード付きのZipファイルの中身が、暗号化されているためです。
また、Zipファイルの暗号化には、「ZipCrypto」と「AES-256」の暗号化方式が使われます。
より脆弱な「ZipCrypto」が使われることが多く、攻撃者があらゆる文字列を、自動的に手当たり次第に試す総当たり攻撃により、比較的容易にパスワードが解析される危険性があります。
業務効率の低下
PPAPによるファイル送信は必要な作業が多く、送る側と受け取る側両方の業務効率を低下させます。
具体的には、メールを2通に分けて送る際の、送信側と受信側の両者に負担が増えることです。
また、スマートフォンの場合、Zipファイルを解凍するために別途アプリを入手しなければなりません。
PPAP問題に対する政府や企業の動き
2020年に「内閣官房で従来のパスワード付きZipファイルを送る行為(PPAP)を廃止」する方針が表明されました。
政府によるPPAP廃止の流れを受け、多くの企業や自治体も、PPAPの使用を止める動きが見られます。
すでに大企業を中心にPPAP廃止が実施されています。取引先の中小企業にもその風潮が引き継がれ、結果的に多くの企業がPPAPを使わないという選択を取りました。
しかし、PPAPを使っている企業も少なくありませんので、取引上の不都合が起きる可能性もあります。
(出典:総務省 テレワークセキュリティ ガイドライン第5版)
PPAP対策として効果的な取り組み
PPAP対策の、効果的な取り組みを解説します。
Zipファイルの使用を止める
パスワードのあるZipファイルの取り扱いを完全に止めることで、ウィルス対策ソフトが正常に稼働し、PPAPならではのウィルス問題を解決できます。
送信者は2度に分けてメールを送信する手間が省けますし、受信者も2通のメールを確認してからZipファイルを解凍する必要がなくなるため、業務効率化を期待できるでしょう。
また、機密性の高いファイルをメールで送信することは、セキュリティ上好ましくありません。
ファイルの送信の安全性を高めるためには、述するファイル共有サービスなどの利用をおすすめします。
セキュアなファイル交換手段を使用すれば、Zipで圧縮する作業やパスワード設定が不要になります。
ファイル転送サービスの利用
ファイル転送サービスは大量のデータを迅速に、安全に送信するサービスです。
- 送信者がファイルをサーバーへアップロード
- 受信者がアップロードされたファイルをダウンロード
なお、後述するファイル共有サービスの利用も同様ですが、外部サービスの利用が自社のセキュリティポリシーに合致していない場合、次のような行動をとりましょう。
- より操作が簡単なファイル共有サービスの利用
- マニュアルの整備
- ワークフローの簡便化
内部で取り組めることを実践したうえで、ファイル転送サービスなどの利用を検討します。
ファイル共有サービスの利用
ファイル共有サービスは、サーバーに置いたファイルにアクセスすることで、ファイルを共有できるサービスです。
ファイル転送サービスよりも簡単に操作できます。
しかし、簡単な操作性から、誤送信や閲覧権限の設定間違いなどが起こりやすく、情報漏洩のリスクに注意しなければなりません。
機密性の高いファイルをやり取りする場合は、サービスに搭載されているアドレス帳機能を使うなど、十分注意する必要があります。
メール以外のツールでファイルを送付
メールではなく、チャットツールなどを用いてファイルを送付するのも効果的です。
汎用的な仕組みである電子メールと比べると、攻撃手法が限られており、盗聴やパスワードを解析される可能性が低くなるためです。
ビジネスの場面で多く利用されている、チャットツールの一部を紹介します。
- Slack
- Chatwork
- LINE WORKS
ただし、チャットツールごとにセキュリティの高さの違いや、操作性の高さから、誤送信のリスクがあります。
また、チャットツールではなく、FTPサーバーを用いたファイルの共有も考えられるでしょう。
まず、FTPサーバーを構築し、適切にセキュリティとアクセス権を設定します。
ファイルを送信する相手のアカウントをFTPサーバーに作成しておき、ファイルの送信時には、ファイルの格納場所とファイル名のみをメールで伝えましょう。
メールを傍受されても、FTPサーバーに攻撃者がアクセスできなければ、情報漏洩の心配は不要です。
別の方法でパスワードのみ送信
パスワードが設定されているZipファイルをメールで送り、パスワードを電話やチャットツールなどを用いて送る方法もあります。
仮にZipファイルを添付したメールが傍受されても、パスワードは別経路によって送信されるため、盗聴される可能性が低くなるでしょう。
しかし、この方法ではウィルスチェックができないうえ、誤送信のリスクは回避できません。
ファイル解析やパスワード解析の被害を受けることもありますので、注意しましょう。
PPAP対策についてのまとめ
PPAPは、セキュリティ面における危険性や、業務の効率低下などのデメリットがあるので、政府がPPAP廃止の動きを進めています。
情報漏洩を防ぎ、機密性が高く重要なデータを安全に共有するためにも、本記事を参考にしながら、有効な方法を検討しましょう。
この記事に関連する最新記事
おすすめ書式テンプレート
監修者プロフィール
