ファイルを暗号化したファイルとパスワードを別メールで送るPPAPは、これまで多くの企業で使われてきましたが、PPAPを禁止する企業が増えています。
これまで多く利用されてきたPPAPがなぜ禁止されだしているのか、PPAPが禁止されている理由を把握しましょう。
また、PPAPの全面禁止にあたり、企業はどのような対応策が必要になるのか、PPAPに代わるファイル共有方法はどうするべきかを解説します。
まずはPPAPについて知ろう
PPAPとは、メールを使ったファイル共有におけるセキュリティ対策手法のひとつです。
PPAPは、正式な名称ではなく、ファイル共有における手順の頭文字を以下のようにとった造語です。
- P:passwordつきzipファイルを送ります
- P:passwordを送ります
- A:ん号化(暗号化)
- P:プロトコル
PPAPの具体的な手法は、パスワード付きの暗号化したファイルを1通目のメールに添付し、2通目のメールにパスワードを記載して送信するというものです。
当初は、PPAPを用いることで、メールの誤送信対策や盗聴対策に効果があると期待されました。
また、仕事におけるコミュニケーションツールに、メールが多く使われていたこともあり、わかりやすい使い方ができることも、広く普及した理由のひとつです。
したがって、PPAPはセキュリティ対策としての有効性を期待され、その使いやすさから、長きにわたり多くの企業で使われてきたファイル共有方法です。
PPAP全面禁止とは
PPAPの全面禁止に大きくはたらきかけたのは、2020年11月に平井卓也デジタル改革相が、PPAPの使用を省庁で廃止にすると発表したことです。
複数あるセキュリティ対策のひとつに対して、大臣が廃止の声を上げたことは、稀なケースであることから、PPAPは、情報セキュリティに重大なリスクをもたらすという認識が世間に知れ渡りました。
内閣府がPPAPを廃止にしたことで、国内企業も続々とPPAPの禁止を表明し、特にIT企業や官公庁は、いち早くPPAPを禁止しました。
一方で、非IT企業はPPAPの禁止に対して、当初は急速な動きは見られませんでした。
しかし、マルウェアによる被害を直接受けた、あるいは身近な企業が被害を受けたことから、非IT企業でもPPAPを禁止する動きが加速しています。
なぜPPAPが禁止されたのか
PPAPはどのような理由から、禁止されたのかについて見ていきましょう。
誤送信対策として有効ではないから
PPAPは、パスワード付きzipファイルを間違って送ったとしても、そのあとのパスワードを記載したメールを送らなければ、暗号化したファイルを復元できないため、誤送信対策になると考えられていました。
しかし、これはメールを送信した直後に、宛先を毎回確認するケースのみ有効な手法であり、現実的には、メールを送信した直後に、誤送信に気づくことは難しいものです。
そのため、PPAPは誤送信対策としては無意味であり、第三者に情報を渡してしまう恐れがあることから、PPAP自体を禁止する動きになりました。
盗聴される可能性が高い
PPAPでは、通信経路の途中でファイルが盗まれたとしても、暗号化されていることでファイルの中身を見ることができないため、情報漏えい対策になると考えられていました。
しかし、暗号化されたファイルを添付したメールと、パスワードを記載したメールは、同じ通信経路を通ります。
そのため、ファイルを盗むことができるのであれば、パスワードを記載したメールも盗まれてしまうことになります。
したがって、PPAPでファイルが暗号化されていても、ファイルとパスワードの双方を盗まれる可能性が高く、情報漏えいを防ぐことはできないことから、重要なファイルをPPAPで送ることが禁止されました。
マルウェア感染拡大の原因となるから
猛威を奮うマルウェアの「Emotet」は、メールで感染を拡大させます。
Emotetの感染拡大の流れとして、あるパソコンがEmotetに感染した場合、パソコン内のメール情報を使って、なりすましメールを送ります。
なりすましメールを受け取った相手が、メールに添付されたファイルを開くことで、相手のパソコンもマルウェアに感染します。
そして再び、パソコン内の情報を使って、なりすましメールを送信します。
なお、添付するファイルはパスワードをつけて暗号化するため、ウイルスチェックソフトをすりぬけてしまいます。
Emotetは、このようにしてマルウェア感染を拡大していくのです。
「暗号化」と「メール」という条件を兼ね備えたPPAPは、Emotetにとって格好の踏み台になります。
普段から、PPAPを利用している場合、正しいメールとEmotetメールを見分けることは難しいものです。
そこで、マルウェア感染拡大の原因となる、PPAP自体を禁止することが必要だと判断されたのです。
受信者の業務効率を下げるから
PPAPでファイルを受け取った相手にとって、パスワードメールを受け取り、そこに記載されたパスワードを入力して、zipファイルを解凍するというのは少々手間のかかる作業です。
そのうえ、パスワードメールを受信できなければ、ファイルを解凍することができません。
仮にパスワードメールが送られて来なかった場合、受信者はパスワードメールの到着を待ち続けなければならず、その間の作業はストップしてしまいます。
このように、PPAPは受信者にかかる負担が大きく、業務効率を下げることが、PPAP禁止の理由となっているのです。
PPAP禁止で必要な対応策とは
PPAPを全面禁止するとはいえ、個人やチームの独断で、PPAPを禁止できないことも事実です。
社外や社内でPPAPを禁止するにあたり、どのような対応策が必要になるのかを考えてみましょう。
取引先への周知
取引先がPPAPを導入している場合、自社がPPAPを禁止しているからといって、一方的にPPAPを全面禁止にしてしまうと、ファイル共有ができず、業務に支障が出てしまいます。
しかし、情報漏えいによる被害を受けたときの損失を考えれば、早い段階でPPAP禁止を進めることが安全策といえます。
そのため、自社のPPAP禁止に向けて、取引先などに対しても、PPAPの利用を控えてもらうように呼び掛けてみましょう。
なお、関係各所に対してPPAP禁止を周知する際は、PPAPはEmotetのようなマルウェア感染の被害を受けやすいことや、自社がマルウェア感染拡大の原因になる可能性があるなど、PPAPを禁止する目的を明確に掲示することが大切です。
政府がPPAPの廃止を宣言したことで、セキュリティリスクが高いことは周知されています。
PPAP禁止を機に、企業同士で、セキュリティリスクについて見直すよい機会と考えてみるのもよいでしょう。
組織の慣習を変える
PPAP禁止に必要な対応策として、まずは組織の慣習を変えることに注視してみましょう。
政府がPPAPの廃止を宣言したことで、セキュリティ対策として有効ではないことを認識しつつも、現実的に組織内のセキュリティシステムを変えることは、労力がかかるものです。
まずは、「ずっと使ってきたから」「簡単に規則を変えられえない」といった、組織の慣習を変えることが重要です。
PPAP廃止を政府が訴え、多くの企業がPPAPの使用を禁止しているなか、PPAPを利用し続けることは、対外的にも自社の価値を落とすことを伝え、PPAPの禁止を訴えましょう。
代替案を提示する
PPAPを禁止にするのであれば、それに替わるファイル共有方法を導入しなければなりません。
代替案としては、ファイル送信サービスやオンラインストレージ、ビジネスチャットなどが候補として挙がっています。
ただし、どのツールを導入するかは、予算や導入のしやすさ、社員が使いやすいと感じるか、利用が定着するかなど、自社のファイル共有方法として適切であるかを検討しなければいけません。
したがって、PPAPの禁止を進めるうえでは、適切な代替案を提示することも必要な対応策となるでしょう。
PPAPからオンラインストレージの利用へ
PPAP禁止に伴い、より安全で効率のよいファイル共有方法として、オンラインストレージを導入する企業が増えています。
自社でPPAPの禁止を検討しているが、どのようにオンラインストレージに移行していけばいいかわからないとお悩みであれば、ぜひオンラインストレージのセキュアSAMBAにご相談ください。
セキュアSAMBAでは、導入前のヒアリングから、利用プランのご提案など、オンラインストレージの最適な活用方法をご提案します。
PPAPに代わる安全で効率のよいファイル共有方法として、ぜひセキュアSAMBAをご検討ください。