メール添付ファイルを暗号化する手法として広まったPPAPですが、実はセキュリティ上の問題を数多く抱えています。
PPAPの危険性が広く知られてくるなかで、PPAPを禁止している企業も出てきました。
この現状を知らずPPAPを使い続けていると、セキュリティ意識の甘い企業という認識を持たれてしまうかもしれません。
PPAPの問題点とPPAP問題の対処法を知り、安全なファイル共有方法について考えていきましょう。
PPAPとは
PPAPとは、「暗号化されたzipファイルとパスワードをメールで送ること」の略称です。
PPAPの頭文字は、それぞれ暗号化ファイルとパスワードを送る手順を表しています。
- 1番目のPは「Password付きzipファイルを送ります」
- 2番目のPは「Passwordを送ります」
- 3番目のAは「暗号化(Angouka)」
- 4番目のPは「Protocol(手順)」
PPAPの命名者である大泰司章氏はPPAPを4つの型に大別していますが、「全ファイルを暗号化したうえで、パスワードと添付メールを同じ手段で送る狭義のPPAP」について解説していきます。
PPAPの問題点
PPAPは何がそんなに問題なのでしょうか。
PPAPの問題点を具体的に確認していきましょう。
根本的なセキュリティ対策になっていない
PPAPの大きな問題点は、「暗号化ファイルを添付したメール」と「パスワードを記載したメール」を同じ経路で送ってしまうことです。
ファイル暗号化が推奨された背景には、パスワードは別経路で送るという前提があったようです。
しかし、実際にはパスワードも暗号化ファイルも同じ経路で送るという狭義のPPAPが多く用いられるようになりました。
このPPAPの何が問題かというと、仮にファイルを添付したメールが盗み取られるような経路ならパスワードもまた盗まれる危険性が高い点です。
PPAPによるセキュリティ対策は、一度空き巣に入られた家に金庫のカギを置いて安心しているようなものです。
PPAPは誤送信予防にもあまり役に立たないといわれています。
暗号化ファイルを送ってすぐ同じ相手にパスワードを送信するとすれば、どちらとも誤った送信先を設定してしまう可能性があるからです。
パスワードを伝える安全で確実な方法が見つかりづらい
できるだけ安全にパスワードを伝えるには、添付ファイル付きのメールとは別の送信経路を使わなくてはなりません。
しかし、このような経路を見つけるのは困難です。
例えば電話を使う方法は、長くて複雑なパスワードを伝えるには不向きです。
聞き間違いが起きれば、また電話して正しいパスワードを教えてもらわなくてはなりません。
Faxは長いパスワードでも正確に伝えられますが、受信原稿はFaxのそばにいる誰もが閲覧できるので安全な経路ではありません。
また、最近ではFaxを導入していない企業も増えており、汎用性のある伝達手段とは言い難いでしょう。
マルウェア感染経路になる可能性
PPAPに使われるのは、暗号化されたパスワード付きzipファイルです。
しかし、暗号化されたzipファイルは、ウィルス対策ソフトで自動スキャンできないという問題点があります。
この点を突いたのが「Emotet」や「IcedID」といったzipファイル形式で送られてくるマルウェアです。
セキュリティを高めるはずのPPAPが、かえってマルウェア感染の危険性を高めているのです。
使い勝手が不便
PPAPはとても使い勝手が悪いです。
送信者はファイルをzip形式に圧縮し、パスワード設定し、ファイル付きメールとパスワード記載メールを別々に送らなくてはなりません。
さらに、最近のwindowsではデフォルトの機能でパスワード付きzipファイルを作ることはできません。
よって、まず最初にフリーソフトなどを導入する手間もかかります。
今度は受信者側です。
受信者は、パスワードを入力してzipファイルを解凍しなければなりません。
これもひと手間ですが、Andoroidスマートフォンユーザーはさらに面倒です。
zipファイルはデフォルトでは開けず、内容を確認するには特別なアプリが必要になるからです。
PPAPは送信者、受信者ともに余計な手間を取らせる方法なのです。
取引先に受け取り拒否される可能性がある
PPAPの問題は広く知れ渡っており、パスワード付きzipファイルの受け取り拒否をするところも出てきています。
2020年12月には「freee」、2022年2月には「ソフトバンク」、同年3月には「三菱重工」がパスワード付きzipファイルの受信拒否を表明しています。
今後はパスワード付きzipファイルを送っても、取引相手に届かないかもしれません。
PPAPを使い続けることで起こる問題とは?
多くの問題点を抱えるPPAPを使い続けると、どのような事態が起こりうるのでしょうか。
PPAPが原因で起こる可能性がある問題を確認していきましょう。
ウイルス感染の危険性が高まる
PPAPを悪用してウイルスが送りつけられる可能性があります。
せっかくウイルス対策ソフトを導入していても、暗号化されたzipファイルにウイルスが仕込まれていれば検知するのが難しくなります。
PPAPを使ったマルウェアは、一見業務と関係ありそうなメールに偽装しています。
PPAPを普段から使っていればパスワード付きzipファイルへの警戒感は薄れがちになり、大変危険です。
取引先から信頼性を失う可能性
2020年、内閣府がPPAPを廃止しました。
この流れは民間企業にも波及しており、今後はパスワード付きzipファイルを送っても受信拒否される場面も増えるでしょう。
PPAPの危険性が広く知られるようになっている中で、今後も同じ手法でメールを送り続ければ取引先から信頼性を疑われかねません。
テレワークを導入しづらくなる
最近では、テレワークを導入する企業も出てきています。
しかし、PPAPは送信側にも受信側にも負担を強いる手法です。
出先でファイルを確認したいのに、スマートフォンにzipファイルを開くアプリがない、今すぐファイルをメールで送りたいのに、暗号化する手段がない、このような不便がたびたび起こるPPAPは、テレワークに向いていないといえるでしょう。
PPAP問題への対処法
PPAP問題を放置すると、今後の業務に支障をきたす可能性があります。
PPAP問題に対処する方法をご紹介します。
パスワードの送信経路を分ける
もっとも単純な対処法は、暗号化ファイルとパスワードの送信経路を分けることです。
例えばファイルはメールで送り、パスワードは電話で伝えるという方法があります。
しかし、安全で確実なパスワード送信経路を確立するのは大変難しいです。
PPAP完全脱却までの場つなぎ的な対処法と考えてください。
セキュリティ機能の高いファイル転送サービスを利用する
メール代わりにファイル転送サービスを使うこともできます。
無料のファイル転送サービスではセキュリティ面に不安がありますが、有料のものは様々なセキュリティ機能が充実しています。
パスワード設定だけでなく、通信回線の暗号化、ログ管理機能などを持っているファイル転送サービスを使えば、高い安全性の下でファイルの送受信が可能です。
チャットツールでのファイル共有
業務用のチャットツールを使えば、とても簡単な手順で特定の相手にのみファイルを送信できます。
チャットツールではやり取りの際に複雑なメールアドレスを入力する必要がないため、誤送信リスクが減ります。
ChatWorkなどのビジネスチャットを利用すればファイル共有後にもメッセージを編集・削除できるので、メールよりも柔軟なコミュニケーションが可能です。
S/MIMEを利用する
ファイル単品を暗号化するのではなく、電子メールを丸ごと暗号化し電子署名を付加できるS/MIMEという手法もあります。
S/MIMEならメールそのものの内容を盗み見られるリスクを軽減できます。
また電子署名により、なりすましや改ざんを検知することが可能になります。
S/MIMEはPPAPと同じメールという通信手段を利用しながら、安全性を高める方法です。
ただし、電子証明書の購入が必要だったり、S/MIMEに対応したメールソフトが必要だったりと、導入までの障壁が高い点がデメリットです。
クラウドストレージに移行する
PPAPの代わりに、クラウドストレージを使うという対処方法もあります。
内閣府でもPPAP廃止後は、ストレージサービスを利用するとしています。
クラウドストレージは、ネット上のファイル保存庫です。
保存場所のURLを共有することで、ファイルを手軽にやり取りできます。
「閲覧のみ」「編集可能」など共有の仕方を選べ、取引相手に合わせたアクセスコントロールが可能なのはメールに無い魅力です。
また、共有したファイル上で共同作業ができるので、テレワークにも向いています。
無料のものもありますが、業務で利用するなら有料サービスの方が適しています。
有料クラウドストレージはアクセスログの閲覧や端末ごとのアクセス制限などセキュリティ機能が多彩で、より安全なファイル共有が可能になります。
PPAP問題へ対処にクラウドストレージを利用しよう
クラウドストレージサービスはPPAPの代わりに使える安全性の高いファイル共有方法です。
共有ファイル上では複数人が同時に作業を進めることもできます。
PPAPとは違い、テレワークでの利便性も高いです。
クラウドストレージにはいろいろな種類がありますが、セキュリティ機能が充実しているのは有料のサービスです。
セキュアSAMBAはセキュリティ機能が充実した国産のクラウドストレージサービスです。
興味がある方はセキュアSAMBAのフリープランから試してみてはどうでしょうか。