PPAPとは、「Password付きZIPファイルを送ります」、「Passwordを送ります」、「Angoka(暗号化)Protocol(プロトコル)」の頭文字を取った略語で、メールで添付ファイルを送信する際に、パスワード付きZIPファイルに圧縮して送信し、別のメールで解凍パスワードを伝えることを言います。
かつてはセキュリティ対策として必要と考えられていたPPAPも脆弱性やリスクの面から、脱PPAPが求められるようになってきています。
なぜ脱PPAPが必要なのか、PPAP対策のソリューションの必要性とソリューションの種類を解説します。
資料ダウンロード
機能や料金、解決できる課題までわかる資料を、無料でダウンロード!
お申込みはこちら
こちらからお申し込みで、セキュアSAMBAの機能を無料でお試し可能!
なぜPPAPは普及したのに問題とされるようになったのか?
企業の情報漏洩を防いだり、セキュリティ対策のための手段として普及したのがPPAPでした。
PPAPは、添付ファイルを暗号化して同じメールにパスワードを書かないことで、添付ファイルメールを誤送信してしまったり、盗聴されてしまった場合でもファイルの中身を見られてしまうリスクが低くなると考えられていたからです。
このような考えから、PPAPを行っていないとセキュリティ対策が弱い企業とネガティブなイメージにとらえられてしまうこともあり、企業間のやりとりにおいてPPAPが普及していったという背景がありました。
しかし、PPAPにセキュリティ効果はなく、セキュリティ面や業務効率面から脱PPAPに向けた取り組みが加速し、PPAP対策ソリューションの必要性が出てきているのです。
PPAP対策ソリューションの必要性:セキュリティ面
PPAPが廃止されてきている大きな理由は、セキュリティ効果がないことです。
セキュリティ面においてのPPAP対策ソリューションの必要性を見ていきましょう。
誤送信対策として効果的ではない
宛先を誤って意図しない人にメールを送ってしまった場合でもパスワードは別メールなので別メールを送る前に誤送信に気づくことができればある程度の効果はあるかもしれません。
しかし、添付ファイル付きメール送信後に何も考えずにすぐに1通目と同じ宛先にパスワードを送るという運用をしている人が多く、セキュリティの意味があまりないものでした。
また、添付ファイルを送信すると自動的にパスワード付きZIPファイルに圧縮して、自動的に別メールでパスワードを記載したメールを相手に送信するツールもあり、導入して手間を省いている企業も多く存在しますが、誤送信対策としては意味を為しません。
こうしたことからPPAPは誤送信対策としては効果的ではない状態といえるのです。
情報漏洩対策として効果的ではない
添付ファイルとパスワードを連絡するメールを別にしても、結局は連続送信することが多いため、送信経路が同じ可能性が高くなります。
したがって添付ファイル付きのメールを盗聴された場合には、パスワード連絡メールも一緒に盗聴されてしまう可能性は非常に高く、情報漏洩対策には効果的とは言えません。
ウイルス対策の妨げとなる
ウイルス感染は、情報漏洩に繋がる可能性があるため、企業にとっては会社の存続にも発展しかねないセキュリティリスクです。
メールの添付ファイルからウイルス感染するケースも多いため、添付ファイルのウイルスチェックは欠かすことができないセキュリティ対策のひとつです。
しかし、セキュリティソフトによって様々ですが、パスワード付きZIPファイルのウイルスチェックができないソフトも多く存在します。
ウイルスチェックできないファイルが添付されたメールを受信することは企業にとってセキュリティリスクが高まると言うことになります。
このようにPPAPは相手企業のウイルス対策を妨害してしまう行為とも言えます。
パスワードが解析されやすい
ZIPファイルのパスワードは比較的簡単に解析されてしまう可能性がある脆弱なセキュリティ対策と言われています。
誤ったパスワード入力をしても何度でも再入力可能なため、時間さえかければいずれは突破される可能性も高くなります。
PPAP対策ソリューションの必要性:業務効率面
業務効率面においてのPPAP対策ソリューションの必要性を確認していきましょう。
PPAPは手間で業務効率が悪い
送信者は、ファイルをZIPファイルに圧縮し、メールを2通送信するという手間が発生します。
受信者も2通のメールを受信する必要があり、さらに2通目のメールが届くまでは添付ファイルを開くことができません。
使用しているウイルス対策ソフトがZIPファイルのチェックに対応していなければファイル展開後に個別にウイルスチェックも行う必要があります。
PPAPは送信者にとっても受信者にとっても手間がかかって、業務効率が悪くなると言うデメリットから対策の必要性があります。
マルチデバイス対応していない
外出先やテレワークなどでモバイルデバイスによってメールを閲覧する機会も増えていますが、モバイルデバイスによっては、解凍するためには専用のソフトを用意しないといけないこともあります。
モバイルデバイスで解凍ができないと閲覧自体ができないので業務にも影響が出てしまう可能性もあります。
特定のデバイスや場所でしか利用できない方法であればPPAPに限らず効率的な方法とは言えないでしょう。
ZIPファイルを拒否する企業が増えているため
ウイルスチェックができないウイルス感染の懸念や脆弱性による情報漏洩などの懸念からZIPファイルの利用を禁止している企業も増えてきています。
PPAP対策をしないと、取引先や顧客とのやりとりに影響がでてしまう恐れがあります。
つまり、自分たちがPPAPを利用したいと思っていても、すでにPPAPを利用することはナンセンスであるという考えや方針をもっている企業が多いので、使うべきではないともいえるでしょう。
対外的なアピールも必要
日本政府は中央省庁の発表を皮切りに続々とPPAPを廃止すると発表し、これに追従して大手企業もPPAPの廃止を推進しはじめています。
PPAPを推進していないとセキュリティアピールにならなかったひと昔前とは逆にPPAP対策を行っていないとセキュリティアピールにならない時代へと移り変わっています。
もっと言えば、PPAPを利用していることでセキュリティ意識が低い、情報セキュリティ対策を考えていないという印象を持たれる可能性すらあるでしょう。
PPAP対策に有効なソリューション
PPAP対策として有効なソリューションはどのようなものなのがあるのでしょうか。
有効なPPAP対策ソリューションとなり得るものを見ていきましょう。
添付ファイルダウンロードリンク化ソリューション
添付ファイルのあるメールを送信すると、ファイルを自動的にクラウド上にアップロードして、受信者にメール本文とファイルダウンロードURLを自動的に送信してくれるサービスです。
ツールの導入は必要ですが、ファイルを添付してメールを送信するという従来のPPAPのときと手順は変わらないので違和感なく利用できることが期待できます。
ファイル転送サービス
送信者がインターネット上にファイルをアップロードし、受信者にダウンロードURLを伝えてインターネット上から直接ダウンロードしてもらうサービスです。
PPAP対策としては有効ですが、ログ管理機能がないものが多く、いつだれがダウンロードしたか記録されないのでトラブル発生時に原因究明が困難になるという点があるので注意が必要です。
オンラインストレージ
インターネット上にあるファイルサーバーを利用するサービスです。
ファイルサーバーのように手軽に利用できますが、ファイルサーバーとは異なり、クラウドサービスなのでインターネットに繋がっていればどこからでもいつでもアクセスすることができるので利便性に優れています。
いつ誰が何のファイルに何の操作をしたか記録されていることが多いため、トラブル時の原因究明も迅速に行うことができます。
PPAP対策ソリューションとしてセキュアSAMBA
オンラインストレージであるセキュアSAMBAはアクセス経路とファイルが全て暗号化されるため、セキュリティも強固で安心して利用することができます。
モバイルデバイスからもアクセスできるので外出先やテレワークなどでも活用できます。
アップロードしたファイルはアップロード先のURLを相手に教えて直接ファイルをダウンロードしてもらうことになるので、メールでのファイルの送受信が発生しません。
また、ファイルにアクセス権を設定することで、URLを第三者に知られてもアクセスできないようにしたり、URLに有効期限を設けることもできるため、セキュリティ対策としても安心して利用可能です。
PPAP対策ソリューションとして、無料から使えるセキュアSAMBAのご利用を検討してみてはいかがでしょうか。
