コラム詳細
この記事では、PPAPのセキュリティリスクと効果的な対策を詳しく解説します。政府や民間企業で広く採用されてきたPPAPですが、セキュリティ強化のために見直しを行う企業が増えています。対策時の注意点もご紹介しますのでぜひ参考にしてください。
目次
PPAPとは、メールでファイルを送信するときのセキュリティ対策方法で、具体的には「暗号化されたパスワード付きのZIPファイル」と「解凍するためのパスワード」を別々のメールで送る手法です。
ちなみにPPAPは、以下の頭文字から構成されています。
| P | パスワード付きZIPファイルの送信 |
| P | 解凍用のパスワードの送信 |
| A | 暗号化 |
| P | プロトコル(手順) |
PPAPは、圧縮・解凍ソフトウェアを用意すれば簡単に導入・運用が行えます。また、ファイルを暗号化してパスワードを別のメールで送信するため安全性が高いと考えられ、これまで幅広い企業で導入されてきました。
PPAP対策は、PPAPのリスクと課題に対処するために実施する対策です。わが国では、政府・民間企業問わず多くの企業がPPAPを採用してきましたが、セキュリティ面で問題があるとして、急速に代替手段への切り替えが進んでいます。
きっかけとなったのは、2020年11月、平井卓也デジタル改革担当大臣(当時)が、これまで内閣府・内閣官房で採用していたPPAPを同月26日に廃止する方針を表明したことです。その際、セキュリティ対策の観点、受け取る側の利便性の観点、いずれも適切でないと述べられました。
また、文部科学省もこれに続き、2022年1月3日でPPAPを廃止としています。
政府の動きを受けて、民間企業でもPPAPの持つリスクの認識が広がっており、代替手段への切り替えを検討する企業が増えています。
ここでは、PPAPの抱えるリスクと課題として、「情報漏えいリスク」「ウイルス感染リスク」「手間の発生」「対応端末の制限」について解説します。
PPAPの利用を継続することによる情報漏えいリスクについて、以下ご紹介します。
第三者によって自社の通信が傍受されてしまった場合には、ZIPファイルを添付したメール、解凍用パスワードを記載したメールのいずれもが盗み見される可能性があります。せっかくファイルを暗号化しても、同時にパスワードが流出することで復号(暗号化前の形式に戻すこと)が容易となり、セキュリティ面で十分とはいえません。
担当者によるメールの誤送信によって、情報が漏えいするリスクもあります。PPAPを採用していても、実際のメールの送信作業は人の手によって行われるため、宛先間違いなどのヒューマンエラーはどうしても起こり得ます。ZIPファイルを添付したメールと、解凍用のパスワード記載メールをセットで誤った宛先に送信してしまうと、情報漏えいにつながるため十分な注意が必要です。
ZIPファイルには、「Standard ZIP2.0暗号化」と「AES暗号化」の2つの方式があります。Standard ZIP2.0暗号化は、幅広いOS・圧縮解凍ツールに対応しているため使い勝手はよいですが、パスワード解析ツールを使用すると簡単にパスワードが解読されてしまいます。一方、「AES暗号化」では暗号強度は向上しますが、古いソフトウェアや一部の環境では対応していない場合があります。
コンピューターの性能が向上し計算速度が高速になっている中で、パスワードの試行回数制限がないなどの運用上の課題もあり、いずれの方式も完全なセキュリティ対策とはいえません。
銀行口座や証券口座などにログインする場合には、パスワードを数回間違えるとロックが掛かり操作不能となりますが、ZIPファイルではパスワードの試行回数に制限がありません。
したがって、セキュリティが十分でなくぜい弱なパスワードを使用していると、ブルートフォース攻撃(パスワードクラッキング)によって、パスワードが解読され情報が漏えいするリスクが高まります。
パスワード付きのZIPファイルのやり取りで、ウイルス感染のリスクが高まっています。
ほぼすべての企業で、メールのセキュリティ対策としてウイルスチェックソフトウェアが導入されていますが、パスワード付きのZIPファイルは暗号化されているため、ウイルスチェックが十分に機能しません。
近年、Emotet(エモテット)をはじめとするメールを介したマルウェアが猛威をふるっており、感染源とならないように企業に対策が求められています。
PPAPは、メールの送信者・受信者の双方にとって手間が掛かり業務効率が悪化しがちという欠点があります。
すなわち、送信者はファイルを圧縮する作業に加え、ZIPファイルとパスワードを分けて2通のメールを準備しなければなりません。一方、受信者は受信したパスワードを利用して圧縮ファイルを解凍する手間が発生します。また、ZIPファイルが添付されたメールとパスワード記載のメールの受信が連続していない場合には、ファイルを解凍するときにパスワードがなかなか見つけられないことも考えられるでしょう。
利用する端末によっては、PPAPの運用がスムーズに行えない課題もあります。
PCを利用している場合には特に問題になりませんが、スマートフォンやタブレットなどのモバイル端末ではパスワード付きのZIPファイルを取り扱えないケースがあります。
近年、自宅・カフェ・サテライトオフィスなど社外で仕事をする機会が増えている中、PPAPではパスワード付きのZIPファイルを確認できる対応端末が制限されるため、代替手段の検討が必要といえるでしょう。
PPAPの抱えるリスクと課題についてご紹介しましたので、ここからはPPAP対策の具体的方法として、代替手段を5つ解説していきます。
メールセキュリティサービスとは、メールのやり取りを安全に行うための機能を包括的に提供するサービスです。
具体的には、脅威の防御・攻撃対策として、強力なウイルスチェック機能、フィッシング対策、成り済まし対策、未知のウイルスへの対応などの機能が利用できます。
また、誤送信対策・情報漏えい対策として、自動での暗号化・パスワード生成、添付ファイルの分離、メール送信の一次保留、BCC強制変換、上長・自己承認などの機能もあります。
サービスによって利用できる機能はさまざまですが、自社に必要な機能だけを選択して利用できるクラウド型のサービスもあるため、コストを抑えつつセキュリティ対策の強化が可能です。
クラウドストレージはオンラインストレージとも呼ばれ、インターネット上でデータやファイルを保管する場所をいいます。サービス提供会社が管理するサーバーにネットワーク経由でアクセスすることで利用可能です。
ファイルやデータをクラウドストレージにアップロードして、共有したい相手にURLを送るだけでファイルのやり取りが完了するため、ZIPファイルのメール添付のような盗聴のリスクがありません。また、通常、クラウドストレージの容量は十分に確保しているため、メールには添付できない大きなファイルもスムーズに受け渡しできるメリットがあります。
ビジネス向けのチャットツールもPPAPの代替手段として検討可能です。ビジネスチャットツールでは、メインとなるチャット機能のほかにファイルの送受信機能を搭載しているものも多く、情報漏えいのリスクを抑えつつデータやファイルのやり取りができます。
ただし、社内での利用を前提とした場合には問題ありませんが、取引先など他社とやり取りを行いたい場合には、他社にも同じビジネスチャットツールを導入する必要があります。
ファイル転送サービスでは、送る側がサービス提供会社のサーバー上にファイルをアップロードして、発行されたダウンロードURLを受け取る側に案内してダウンロードしてもらう仕組みです。
インターネット上のストレージを利用してファイルの受け渡しを行う点でクラウドストレージと類似していますが、ファイル転送サービスは一般的にダウンロード可能な期限が設定されることが多いです。
また、一時的なファイル共有に特化しており、クラウドストレージのような継続的なファイル保存・共有を前提とした設計ではありません。
S/MIME(Secure/Multipurpose Internet Mail Extensions)は、メールの送受信にあたって、メールを暗号化するとともに改ざんや成り済ましを防止するための技術です。
暗号化されていることで、万が一、メールが盗聴されても解読できないため情報漏えいを防げます。また、電子署名によって正規の送信者であることを証明でき、成り済ましの防止に役立ちます。
このように、S/MIMEはメールセキュリティの向上が期待できますが、利用する場合にはメールの送信側・受信側ともにS/MIMEに対応している環境が必要なため注意が必要です。
PPAP対策を実施することで期待できる効果を2つご紹介します。
PPAP対策として代替手段を採用することで、盗聴・誤送信などによる情報漏えいリスクやウイルス感染リスクの抑制に役立ちます。
ただし、コンピューターに危害を加えるマルウェアは日々進化しており、新たなサイバー攻撃の手法が生み出されているため、自社の実施しているセキュリティ対策の有効性について日頃から意識しておくのが重要です。
PPAPでは、送信者はファイルの圧縮作業のほかに、ZIPファイル送信メールとパスワード送信メールの2通を準備する必要がありました。また、受信者はパスワードを利用して圧縮ファイルを解凍する手間が掛かっていました。
PPAPから代替手段に移行することで、担当者の手間を省き業務の効率化につながるとともに、誤送信などのヒューマンエラーも抑制でき、業務に集中する環境を構築できるでしょう。
PPAP対策を行うときの注意点を「セキュリティ面」「業務効率」「コストメリット」「周知と運用」からご紹介します。
PPAP対策の実施にあたっては、PPAPが抱える情報漏えいリスク・ウイルス感染リスクをカバーし、セキュリティの向上につながるか確認しましょう。
具体的には、盗聴やマルウェアなどへの防御対策、誤送信対策、情報漏えい対策に加え、コンプライアンス対策として取引履歴の記録やアクセスコントロールなどの機能を利用することで、セキュリティ性能を高められます。
PPAPは、メールの送信者・受信者の双方にとって手間が掛かる作業であるとともに、対応する端末も限定されるため、業務効率の悪化につながるという課題がありました。
代替手段を導入するときには、PPAPと比較して業務効率を向上できるか、利用できる端末が豊富かを事前に確認する必要があります。
ただし、セキュリティ性能が高く機能が豊富でも、操作が複雑で使いづらいと十分な効果が得られないため、分かりやすい操作性のツールを選びましょう。
PPAP対策として、新たに代替手段に移行する場合には、導入コストや運用コストが発生します。これまで無料でPPAPの手法を採用していた企業では、別途予算を設ける必要があるでしょう。
したがって、負担するコストに対してどれだけのコストメリットが得られるかを慎重に試算したうえで、自社に適した代替手段を検討する必要があります。
PPAPから代替手段に切り替えたあとは、操作マニュアルや問い合わせ窓口を整備し、社員全員に正しく運用してもらえる環境を整備しましょう。長年使用してきた社内のシステムやツールを入れ替える場合には、なかなかなじめない社員が出てくることも想定されます。
したがって、なぜPPAPをやめて代替手段を導入したのかを周知するとともに、情報漏えいや不正アクセスなどのセキュリティリスクを学べる研修を実施して、セキュリティ意識を高めるのも有効です。
この記事では、PPAPの概要、リスクと課題、PPAP対策の具体的方法(PPAPに代わる手段)、PPAP対策を行うときの注意点などについて解説しました。
これまでPPAPは、パスワード付きZIPファイルとパスワード記載のメールを分けて送信するため、安全にファイルのやり取りが行えると考えられ、多くの企業で採用されてきました。
しかし、情報漏えいやウイルス感染のリスクがあり、作業にも手間が掛かるため、代替手段への移行が急速に進んでいます。
今回ご紹介した5つの代替手段は、効率的かつ、セキュリティ面でも優れていますので、ぜひ当記事を参考に、PPAPに代わる手段としてご検討ください。
当社では、ランサムウェアなどのサイバー攻撃対策・PPAP対策・誤送信対策など、現代のビジネスに必要なメールセキュリティ機能を搭載した「Cloud Mail SECURITYSUITE」をご提供しています。
「Cloud Mail SECURITYSUITE」は脅威防御対策・標準型攻撃対策として、アンチウイルス・スパム対策・フィッシング対策・成り済まし対策・サンドボックスの機能などがご利用可能です。
また、脱PPAPとして、送信先ごとに通常送信・PPAP送信・ファイル分離送信が設定できます。
さらに、必要な機能・対策だけを自由に選択でき、低コストでの導入を実現していますので、ご興味をお持ちの方はぜひ以下のURLより詳細をご覧ください。
