添付ファイルをメールで送る場合に、ZIPファイルに圧縮した上でパスワードをかけて送信し、解凍するためのパスワードを別のメールで伝えることをPPAPと言います。
PPAPの由来は「Password付きZIPファイルを送ります」、「Passwordを送ります」、「Angoka(暗号化)Protocol(プロトコル)」の頭文字を取った略語です。
冗談のようなネーミングですが、国内ではこれまで官民問わずに当たり前のように使用されていました。
しかし、このPPAPがセキュリティ対策として意味がないと問題になっていて、PPAP対策が必要と言われています。
なぜPPAP対策が必要なのか、PPAPにはどのような対応をすべきなのかを解説します。
PPAP対策・PPAP対応が必要な理由
そもそもPPAPが浸透した理由は、セキュリティ強化のためです。
インターネットが普及することで悪意のある第三者も現れ始めたため、政府や企業は情報漏洩などを防ぐ手段を講じる必要がありました。
その手段のひとつがPPAPだったのです。
添付ファイルを暗号化し、パスワードを同じメールに書かないことで、万が一添付ファイルのついたメールを覗き見されても、ファイル自体を閲覧されるリスクが低くなると信じられていたからです。
「信じられていた」というのは、現在はPPAPに対する考えの変化やリスクが高いことが知られ、脱PPAPが推進されています。
PPAP対策として脱PPAPが推進されだした理由
脱PPAPが推進されている理由は主に4つあります。
一つ目は、「情報漏洩対策として効果が薄い」ことです。
添付ファイルがついたメールとパスワードを記載したメールを別々にしても、送信経路が同一である可能性が高いため、あまり意味がないと言われています。
また、ZIPファイルのパスワードは比較的簡単に解析されてしまうリスクもあります。
二つ目は、「誤送信対策として効果が薄い」ことです。
万が一、メールの宛先を誤って第三者に送ってしまってもパスワードさえ記載しなければ重要な情報が漏れることを防げますが、2通目のパスワード送信メールも1通目と同じ宛先に送信することがほとんどであるため、あまり意味がないと言われています。
三つ目は「ウイルスチェックができない」ことです。
ZIPファイルに圧縮していると中のファイルを検知できないウイルス対策ソフトが多いため、ウイルス感染のリスクが高まります。
四つ目は「業務の非効率化」です。
送信者は、メールを2通に分けたり、ファイルを圧縮する手間がかかり、受信者もファイルをパスワードによって複合化する手間が増えます。
モバイルデバイスなどでは専用のソフトを使用しないと中身を見られないこともあり、業務の効率が落ちることになります。
このような理由を踏まえて、日本政府は中央省庁の発表を皮切りに続々とPPAPを廃止すると発表しています。
これに追従して、日立やソフトバンクなどの大手企業もPPAPの廃止を決定しています。
PPAPを廃止している企業とはPPAPを用いたやりとりはできないので取引先も廃止することになります。
こうして、今後もPPAP廃止の動きはますます加速していくと考えられPPAP対応の必要性も増していくことでしょう。
PPAP対策・PPAP対応を進めるには?
かつてはPPAPを推進していないと「セキュリティ対策をきちんとしていない企業」のレッテルが張られていたため、セキュリティ対策をしているアピールをする意味でも各企業はPPAPを推進していました。
しかし、現在はPPAPをいまだに推進していると「セキュリティ対策をきちんとしていない企業」のレッテルが張られかねない状況になっています。
会社のセキュリティ事故を防ぐ目的はもちろんですが、社外へのアピールのためにもPPAP対策をすることはとても重要です。
正しい対応策としては、現在の課題をすべてクリアする必要があります。
たとえば、パスワードを2通目のメールではなく、電話でパスワードを伝える手段に変更するとしましょう。
これを推進することで、パスワードを覗き見されるリスクがなくなったり、誤送信してしまった場合に第三者に見られてしまうリスクはなくなります。
しかし、ZIPファイル自体のパスワードを解析される脅威はなくならないほか、業務の非効率化は加速したり、ZIPファイルのウイルスチェック問題も解決していません。
PPAP対策を進める上で重要なことは以下です。
- 情報漏洩対策になる方法にする
- 誤送信対策になる方法にする
- ウイルスチェックができる方法にする
- 業務の効率化につながる方法にする
これらの課題をすべてクリアしてはじめてPPAP対策と言えます。
PPAP対策・PPAP対応として効果的な取り組み内容
具体的にPPAP対策・PPAP対応として効果的な取り組みをいくつか解説します。
よく理解して適切な対応を推進しましょう。
zipファイルの送信の廃止
まずは「パスワード付きZIPファイルをやめること」です。
解析されやすいパスワード付きZIPファイルをやめることで、送信者の圧縮やメールを2通にわける手間がなくなり、受信者も解凍する手間がなくなり、業務効率化につながります。
また、ウイルス対策ソフトでのウイルスチェックもできるようになるのでセキュリティ対策にもなります。
認証者のみ閲覧可能な状態にする
パスワード付きZIPファイルをやめることは、業務効率化やウイルス対策になるだけで、本来のPPAPの目的だった情報漏洩や誤送信対策にはなりません。
それを解決する方法は「認証者のみ閲覧可能な状態にすること」です。
メールに添付したファイルは、メール受信者すべての人が閲覧できてしまうため、盗聴されたり誤送信してしまった場合も、相手に見られてしまいます。
ファイルを見ることができる人を限定できるようにアクセス権をつけることで仮に誤送信してしまった場合も、意図した人以外は見ることができなくなります。
PPAP対応のためにオンラインストレージを活用しよう!
「パスワード付きZIPファイルをやめること」、「認証者のみ閲覧可能な状態にすること」の課題をクリアできるサービスが「オンラインストレージ」です。
オンラインストレージとは、クラウド事業者が提供しているインターネット上にあるファイルサーバーを借りて、ファイルを共有できるサービスになります。
インターネットにさえ繋がっていれば、社内、モバイル、社外のどこからでもアクセスすることができるため、利便性に優れていて、テレワークが普及した昨今に合ったサービスです。
ファイルの共有はファイルのURLを相手に知らせるだけでOKです。
アクセス権を設定することで、URLを知られても第三者がアクセスできないようにしたり、URL自体に期限を設けたりとセキュリティ対策としても安心です。
万が一、アクセス権を設定していないファイルのURLを第三者に知られてしまった場合も、オンラインストレージ上のファイルを消すだけで対応可能です。
また、災害時の破損や紛失などのBCP対策にも有効です。
PPAP対策・PPAP対応にセキュアSAMBA
オンラインストレージ「セキュアSAMBA」は、中小企業に一番選ばれている法人向けのサービスです。
様々なデバイスからアクセスすることができ、アクセス経路とファイルはすべて暗号化されているため、安心して利用することができます。
そのほかにも、アクセス権限の設定やIPアドレス制限、端末認証、二段階認証、自動ログアウトなど、セキュリティ機能は充実していて、きめ細やかな運用が可能となっています。
また、ドラッグ&ドロップによる簡単操作やファイルの直接編集や保存できたりと、直感的に簡単に操作することが可能です。
有料プランだけでなくセキュアSAMBAは無料のフリープランも用意されているため、気軽に試してみることもできます。
PPAP対策・PPAP対応として国産オンラインストレージ「セキュアSAMBA」を検討してみてはいかがでしょうか。
