暗号化されたファイルとパスワードを別々に送る「PPAP」には、課題が多いとして廃止する企業が増えています。
PPAPが廃止される背景には、PPAPがセキュリティリスクが高い、非効率であるなどの課題やリスクがあるためです。
ITにおけるPPAPとはなにか、PPAPのどのような部分に課題があるのかを明確にしたうえで、脱PPAP対策の必要性と具体的な内容について考えていきましょう。
ITにおけるPPAPとは
PPAPとは、メール運用におけるセキュリティ対策手法のひとつです。
PPAPは、はじめに、文書や画像などのデータをパスワード付きのzipファイルにして、メールに添付します。つづいて、パスワードを記載したメールを別送で送ります。
PPAPは正式な呼称ではなく、日本で広まった造語であり、以下のように頭文字をとったものです。
- 「P」asswordつきzipファイルを送ります
- 「P」asswordを送ります
- 「A」ん号化(暗号化)
- 「P」rotocol(手順)
一部の専門家からは、セキュリティリスクへの有効性に、以前から疑問の声が上がっていましたが、2020年に内閣府と内閣官房がPPAPを廃止する方針を示したことで、一気に注目が集まりました。
以降、PPAPを導入していた企業も廃止へと動き、PPAPを自動化するツールを販売していた企業も、保守サポートを終了するなど、「脱PPAP」への動きが進んでいます。
PPAP導入で得られると考えられていた効果
PPAPが導入された目的は、重要なデータが保管されたファイルが、第三者の手に渡ったとしても、パスワードをかけることでデータの流出を防ごうというものです。
PPAP導入で得られると考えられていた効果を3つ挙げていきます。
当初はメールの誤送信対策が目的だった
PPAPは、ファイルを添付したメールと、パスワードが記載されたメールを別々に送ります。
双方のメールを受信しないと、パスワードがかけられたファイルを開封できません。
そのため、最初のメールを間違って送ってしまったとしても、次に送るメールを送信しなければ、ファイルの中身を見られずに済むため、メールの誤送信による情報漏えい対策に効果的だと考えられていました。
盗聴されにくいと考えられていた
メールは、送信側や受信側のメールサーバなど、さまざまな場所を経由して送受信をおこないますが、その際に盗聴を防止する通信方法が保護されない経路をたどることがあります。
PPAPであれば、データにパスワードをかけているので、万が一第三者にファイルを盗まれたとしても、内容が見られてしまうリスクを抑えられる効果があると考えられていました。
また、zipファイルにすることでデータの内容が暗号化されるため、メールの通信経路の途中でファイルを抜き取られてしまったとしても、中身を盗聴されにくいと考えられていました。
わかりやすい使い方と思われていた
暗号化されたzipファイルは、Macであれば標準機能での開封が可能であり、Windowsにおいても、フリーソフトをインストールしておけば手間をかけずに開封できます。
また、共有したパスワードを入力するだけというわかりやすさは、デジタルツールに詳しくない人にも扱いやすく、貴重なデータを扱っているという意識づけをすることもできるとされPPAPが利用されていました。
多様なツールが普及した今となっては、業務効率化の面で非効率な部分もありますが、ITツールに詳しくなくても、比較的使いやすいとされていました。
PPAPには課題が多い
長らく使われてきたPPAPですが、多くの企業でPPAPを廃止する動きがとられています。
これは、PPAPに替わるツールやサービスが普及したと共に、企業や個人が、PPAPはデータ共有において課題が多いと判断したからです。
具体的にどのような課題がPPAPにあるかを考えてみましょう。
誤送信対策としては無意味
PPAPは、最初のメールを間違って送ったとしても、次のメールを送らなければ誤送信が防げるというものですが、これは、最初のメールを送った直後、誤送信に気づいたときのみ有効な対策です。
自らが瞬時に誤送信に気づくことは難しいため、PPAPは誤送信対策に特段有効な手立てとは言い難いものです。
通信経路で盗聴される可能性が高い
PPAPは、データを暗号化しているため、中身を読まれてしまうことはないと油断することはできません。
暗号化したデータを添付するメールと、あとからパスワードを記載したメールは、同じ経路をたどっています。
そのため、パスワードを記載したメールが簡単に盗聴されてしまう可能性は大いにありえるのです。
そもそも、zipファイルのパスワード入力は無制限に試すことができるため、時間はかかっても数字を総当たり式に入力していけば、時間はかかったとしても、そのうち必ず開封できてしまいます。
マルウェアを検知できない
昨今のPPAPにおける大きな問題点とされているのが、ファイルの中身をチェックできないことです。
データを暗号化していることで、ファイルの中身にマルウェアが仕込まれていたとしても、セキュリティソフトがウイルスを検知することができません。
暗号化したファイルをメールで送り、ウイルスによる攻撃を拡大させている、Emotet(エモテット)と呼ばれるマルウェアは、この手法をとっています。
スマートフォンでの閲覧制限
最近は、スマートフォンもパソコンと同様のスペックをもつようになったため、業務で、パソコンと同じようにスマートフォンを使う人が増えています。
しかし、スマートフォンでzipファイルを開くには、専用のアプリが必要になるケースもあります。
Windowsパソコンでも同様にソフトが必要になりますが、パソコンと異なり、スマートフォンは大容量データを内部ストレージにダウンロードすることには不向きです。
したがってPPAPは、場所を問わない多様な働き方を阻害する一因ともなりかねません。
手間や時間がかかる
企業によっては、PPAPで送るファイルの重要度が曖昧であり、それほど重要でないメールでも、ルールだからとPPAPを使っていることもあるようです。
メールの受信者は、重要度の高低に関わらず、その都度パスワードを使ってファイルを開かなければいけません。
メール確認の時間を確保できない場合、受信ボックスに同じ相手から複数のメールが送られてきていた場合、どのファイルとどのパスワードが紐づけられているかを探す必要があります。
また、万が一、送信者がパスワードを送ることを忘れていた場合には、パスワードが記載されたメールが届くまでファイルを開くことはできません。
急ぎであれば、催促の電話やメールを送る手間が生じることもあり、受信者にかかる負担は増える一方です。
脱PPAP対策の必要性とは
2020年11月に内閣府がPPAPの全面廃止を打ち出してから、多くの企業で「脱PPAP」が進んでいます。
脱PPAP対策が必要な理由は、「セキュリティリスク回避」と「業務効率化」にあります。
セキュリティリスクを回避することは、言うまでもなく企業の知的財産や顧客情報などの情報資産を守ることができます。
原因はどうであれ、企業が情報漏えいを起こしてしまうと、金銭的損失だけではなく、社会的信用の失墜や企業倒産のリスクも高まります。
このようなリスクから組織を守るには、セキュリティリスクの高いPPAPを廃止することは必要不可欠なのです。
次に「業務効率化」について、PPAPは手間が多くかかる手法です。
ファイルを暗号化してメールで送り、再びパスワードをメールで送るという、メール作業の手間がひとつ増えることになります。
パスワードを別ルートで送れば、セキュリティ対策を向上できるとはいえ、作業効率を度外視することはできません。
企業の生産性や利益向上の弊害となるPPAPを、いつまでも使い続けることは、セキュリティリスクの問題を抱える可能性もあることから、脱PPAPの必要性が訴えられるのです。
脱PPAP対策の内容
脱PPAP対策として、どのような対策をとれば安全にファイルを送ることができるのか、そPPAPに代わる方法の内容についても見ていきましょう。
オンラインストレージを使う
現段階で、「セキュリティ対策」と「業務効率化」の双方を実現できるとして、最有力候補とされているのがオンラインストレージです。
オンラインストレージは、PPAPと比較して、大幅にセキュリティ対策を強固なものにしてくれます。
重要度の高いデータであれば、パスワードをかけたアップロードも可能です。この際のパスワードは、ビジネスチャットを使うことで、セキュリティ対策により効果的にはたらきます。
仮に、共有先を間違えたとしても、簡単な操作で共有機能を無効にできるなど、脱PPAP対策としてオンラインストレージへの注目は高まっています。
社会全体で脱PPAP対策に取り組む
脱PPAPの難点として、「今さら組織全体のルールを変えることは難しく、コストもかかる」として、根強く慣習として残ってしまうことにあります。
また、社外とのファイル共有は、双方の問題であるため、上記に挙げたオンラインストレージを導入するよう、相手にお願いすることは難しいものです。
このように、脱PPAP対策は一企業の取り組みだけでは脱出は難しいとされることも事実です。
だからこそ、官民一体となり、社会全体で脱PPAP対策に取り組むべきなのです。
脱PPAPは、猛威を振るうマルウェア対策に最も必要とされています。
実際に、甚大な被害をもたらすEmotet(エモテット)は、暗号化ファイルを添付したメールを開封することで拡大してます。
安全で効率よくファイル共有をおこなうのであれば、PPAPから脱却することが、有効なセキュリティ対策となるのです。
脱PPAPならオンラインストレージ
PPAPは、長らく使われたことで根付いてしまった手法ではありますが、セキュリティリスクや非効率さが周知され、廃止の方向へと進んでいます。
脱PPAP対策の有力候補であるオンラインストレージであれば、zipファイルの添付自体をなくし、メールの非効率さも同時に解消できます。
オンラインストレージに移行することが難しいとお悩みであれば、ぜひセキュアSAMBAにご相談ください。
セキュアSAMBAでは、導入前からのヒアリングに始まり、安心のサポート体制を準備しております。
脱PPAP対策や効率のよいファイル共有の際は、オンラインストレージのセキュアSAMBAの導入をご検討ください。