機密情報が含まれたファイルをパスワード付きZIPファイルで送信、そして解凍パスワードを別途送信するといった流れは、かなり一般的に使われています。多くの場合は
- パスワードを別メールで送っているから安全
- 取引先が使っているのだから大丈夫だろう
という気持ちがあるのではないでしょうか?上記のような手順のことを「PPAP」と略されます。
PPAPは大きなリスクを抱えており、大手企業が禁止を発表したり、政府がPPAPを廃止する方針を示したりと利用しない流れが固まりつつあります。
しかし未だ多くの企業が利用しているというのが懸念点です。もし今も利用している場合はそのリスクをよく理解して策を講じてみてください。
本記事ではPPAPとは何か、そのリスクやセキュリティ対策する場合の代替策などをご紹介していきます。
IT業務のお悩みやお困りごと、コスト削減をお考えなら、まずはITのことならなんでも無料で相談できるITボランチへご相談ください。お問い合わせはこちらから
Contents
セキュリティ上はよい意味で使われない!PPAPとは
PPAPとは
- P:Password付zip暗号化ファイルを送り
- P:Passwordを送り
- A:暗号化する
- P:プロトコル(手順)
上記4つの頭文字を取った一連のファイル送信行為の略称です。
Aだけ日本語が使われていますが(暗号化するという日本語は英語で「encrypt 」といった言葉になる)、語呂合わせはよいのですぐ覚えられるでしょう。
ちなみにこの略称ができたのは、上記の手順をセキュリティ上問題があると示すのに適当な略称が今までなく指摘がしにくかったからです。よい意味では基本的に使われないので注意しましょう。
従来日本ではPPAPという言葉が表しているように、「重要なファイルはまずZIPで暗号化して送り、暗号化解除のためのパスワードを別途送信する」という手順でセキュリティを確保しようとしてきました。大企業や政府でも使われてきた手法です。
ただしこの手法には、セキュリティ上大きな弱点がいくつかあります。そもそも暗号化したファイルとパスワードをインターネット上に両方流してしまっては、情報漏洩の際すぐファイルを解凍されて悪用されてしまうリスクと常に隣り合わせです。 それにもかかわらず、PPAPは次のような背景から広まってしまいました。
メールでパスワードを送るといった誤った方法の広がり
総務省はPPAPのもとになったガイドラインを公開していますが、そもそもこの解釈から誤った概念が広がっています。具体的には本来「メール以外の方法でパスワードを伝え、暗号化ファイルを解凍できるようにすること」というニュアンスの文言が入っていましたが、これが抜けて誤って広まりPPAPが利用される環境ができあがっています。
いわば政府のセキュリティガイドラインが誤った方針で広がって完成したものがPPAPと言ってよいでしょう。
プライバシーマーク取得時にPPAPが審査基準に入るという迷信
企業の信頼性を確保するものとして、プライバシーマークはよく利用されています。プライバシーマークを取得するにはいくつか基準がありますが、企業の中では「プライバシーマークを取得するには、PPAPを実行していると有利に働く」という迷信がまことしやかにささやかれていました。
こういった背景を受けて、プライバシーマークを認定している「JIPDEC」では、「当団体ではPPAP方式をすすめているわけではない」という見解を公表しています。
作業効率化が重視されてセキュリティがないがしろになる
セキュリティを細かく管理しようとすると手間が掛かります。しかしPPAP方式はZIP付きファイルとパスワードさえあればすぐに実行できる簡単な方法です。
作業効率化の面からPPAP方式は都合がよかったのも、ここまで広がってしまった背景にあります。一度広がってしまった風習を変更するのは意外と難しく、PPAPも例外ではありません。すぐにやめられない企業も多くセキュリティの穴を作ってしまっている大きな問題になっています。
そもそもパスワードまでメール送信したら意味がない!PPAPのセキュリティリスク
PPAPには次のようなリスクがあります。
誤送信でパスワードまで漏洩する
PPAPではメールを使いますが、それゆえ「宛先を間違えて誤送信してしまうとファイルが漏洩してしまう可能性」があります。
たとえば、
- 単純にメールアドレスを打ち間違えてそのまま送信してしまった
- BCCといった欄を選択する際、違う取引先を選んで送信した
といったケースで漏洩するケースがあるでしょう。
ファイルが間違って届くだけでも、ブルートフォース(総当たり)によってパスワードを解読されるといったリスクがあるので危険です。
またパスワードまで引き続き誤送信してしまうとさらに大変です。あっという間に解凍されて情報を盗まれてしまいます。
悪用されてマルウェア配布の温床になるケースもある
ZIPファイルにはセキュリティチェックをすり抜けてしまうリスクがあります。ソフトの検知機能が働かず、マルウェアでも開いてしまうリスクがあるのがポイントです。
ZIPファイルを一度サンドボックス(仮想環境)で開くといった方法だと被害を防げますが、そういった対策を行わずマルウェアを開いてしまうと感染して被害が広がってしまう可能性があるでしょう。
また「PPAP方式で送られてきたから安心だ」という迷信があるとリテラシーが低下して開いてしまうリスクがある点も留意したいところです。
PPAPで使われている暗号自体が脆弱
PPAPでは暗号化の際、「ZipCrypto」という方式が用いられています。OSにとらわれない汎用性などが受けているからです。ただしZipCrypto自体の暗号強度は高くありません。
初心者は暗号技術に対して詳しくないでしょうから、暗号化されていれば安全という考えを持っていても不思議ではありません。しかし実際には技術があるハッカーなどからすると、PPAPで使われている暗号化ファイルは攻撃を試す絶好のカモとなります。
政府が廃止する方針を示す!PPAPは使わないほうがよい
PPAPが広まって日本全体のセキュリティ状態に問題がある背景を受け、ついに政府が動き出しました。2020年11月にはデジタル担当大臣が「中央省庁の職員についてはPPAPの利用を禁止する」という方針を発表し、暗号化されたZIPファイル自体も廃止する考えを打ち出しています。政府はデジタル改革を早く進めたいという考えがありますから、その障害となるPPAPを廃止したいという思惑もあるでしょう。
政府や団体が動き出した流れを受けてニュースでもPPAPが取り上げられ、一般にもその問題が広がりました。PPAPへの関心が高まっている今だからこそ、PPAPを廃止してセキュリティを確保できる新方式でファイルのやり取りができる環境を構築していきたいところです。
共有方法を変えてみよう!PPAPの代替手段をご紹介
PPAPに代わるセキュリティを確保できる手段として、次のようなものが挙げられます。
クラウドストレージ(オンラインストレージ)
プライベートでも使われているクラウドストレージは、メールセキュリティ対策として有効なツールです。クラウド上にデータを保存して共有できるためバックアップとしても有効で手軽という点もポイントです。
クラウドストレージには
- アクセス権限やダウンロード権限などを細かく設定できる
- クラウド上でファイル内容をプレビューできるので安心できる
- ZIP付きファイルと同じようにパスワードで情報の保護が可能
といったメリットがあります。適切な権限発行やパスワード共有などができていれば、「いちいち別の人員に同じファイルを送る」といった手間も掛からなくなりますし、誤送信の危険も減らせます。メールと違いファイル容量に上限が掛かりにくいのもメリットです。
グループウェア
メール送信に関する機能が付いたグループウェアも存在しています。
グループウェアに搭載されている
- 宛先を自動チェックする
- 送信後も一定時間取り消しが可能
といった機能によって誤送信に関する不安を解消できます。
またクラウドタイプでも根本的なセキュリティが強固なサービスが多く、メール以外の工程も自動化できるため業務効率化に効果があるでしょう。
データ送信サービス
ZIP付きファイルの暗号化強度が気になる方には、データ送信サービスがおすすめです。
クラウドを通して大容量のデータも送信できるデータ送信サービスには、
- セキュリティに気を付けている提供元が多い
- SSLで強固なデータ暗号化を実現できる
- トラッキング機能でメールの送信状況を調査できる
といった機能が搭載されています。
メールの不達にも気付けるので活用範囲は広いと言えるでしょう。
急増しているメールセキュリティの脅威!解決方法とは
現在セキュリティの10大脅威の組織版として、
・標的型攻撃を使った機密情報の窃取
・ビジネスメール詐欺を利用した金銭被害
といった脅威が現在取り上げられています。
標的型攻撃では取引先を装い文章を作成、攻撃対象へ送って情報を盗み取るという手法が利用されています。大企業は対策を進めているものの、サプライチェーン上まだセキュリティに関する課題の多い中小企業は攻撃で被害に遭うリスクが高くなっています。
またビジネスメール詐欺では、架空の請求書を送付して振り込ませるといった方法で金銭をだまし取る手法が主流になっています。標的型攻撃より巧妙な手口もあり、こちらも順位は標的型攻撃よりも低いものの対策をしておきたい脅威です。
PPAPを含めたメールセキュリティ全般へ対策を行う際は、次のポイントを踏まえてみましょう。
- 社内のITリテラシーを高める
- セキュリティ上問題があるやり取りを変更する
- セキュリティ対策ソフトや脅威に備えられるシステムを導入する
社内のITリテラシーを高めるには、研修を行ったり万が一被害に遭遇した場合の対策を考えて啓蒙する方法などが有効です。現場で話し合いの機会を設け、どうしたらセキュリティが総合的に向上して安全にメールが使えるかを議論してもよいでしょう。
またPPAPといった問題があるやり取りを変更して対応する柔軟性も重要です。「自社ではすでにクラウドサービスをいくつか導入しているから、導入ハードルの低いクラウドストレージを活用してファイルを送信しよう」といった社内環境に合った変更がカギです。すぐに実行できない、やり方が難しいといった問題を伴う変更は浸透しない可能性があるので注意しましょう。
また技術面では、パスワード付きZIPファイルにも対応できるセキュリティ対策ソフトやセキュリティ機能が充実しているシステムの利用も重要になってきます。
- クラウド上で解凍してから検証を行う
- 誤送信といったリスクにエラーを出してくれる
- 権限設定が細かくできる
といった機能がある対策ソフト・システムだと安全に利用できるでしょう。
社内の運用方法の見直しが最重要
メール関連のセキュリティを対策するには、ある程度期間が必要です。スムーズに対策を実行して浸透させるためにも、まずは社内運用方法の見直しを行いましょう。
- 問題があるメールセキュリティ箇所を洗い出す
- 無理のない対策方法をいくつか考える
- 問題が起きた際にどうやってエスカレーションするか手順を考える
- 完全な対策完了に掛かる期間を想定する
- 実行のときに利用するガイドラインを策定する
といった見直しによってスムーズにセキュリティ対策が浸透しやすくなるでしょう。
なによりもヒューマンエラーといわれる、人為的なミスが一番大きなセキュリティリスクとも言えます。
セキュリティに関しての意識を社員が高めることによって、多くのセキュリティリスクを軽減することができるでしょう。
また、PPAPもそうですが、社員が業務に支障を及ぼさないようにセキュリティ対策を浸透させることが、コストを軽減しながらセキュリティレベルを向上させる方法なのです。
まとめ
PPAPには代替策もあるので、現在も使い続けている方は利用をやめてみてください。
IPAの情報セキュリティ10大驚異の2021年、2022年でも、組織編の1位はランサムウェアによる被害となっています。スパムメール、迷惑メールに添付しているファイルを開いてしまってマルウェアに感染してしまい、金銭を要求されるなどの被害が多発しています。
多くの方が突然取引先の知っている方から、ZIPファイルが添付されたメールが届いて、疑わずに解凍してしまいそうになってことはあるのではないでしょうか。
近年のランサムウェアなどのメールによるサイバー攻撃は巧妙化が進んでおり、意識の高い方でも間違ってしまいそうになるほどです。
PPAPによってランサムウェア被害などが発生すると企業信頼性低下にもつながるので危険です。情シスが中心となって、メールのセキュリティレベルを見直すといったことはもちろん、何よりも社員1人1人のITリテラシー向上が最重要のセキュリティ対策です。
リモートワークがニューノーマルな働き方として定着しつつある昨今、社内のネットワーク環境は大きく変革しました。しかし、セキュリティルール、対策が見直された企業は多くはないのです。
特に中小企業は社員が自宅で業務を行うネットワーク環境でのセキュリティ対策に手が回っていないというのが実際のところでしょう。しかし、そういったセキュリティリスクを狙ってサイバー攻撃が仕掛けられることも多いです。
急に取引先から、覚えの無い添付ファイルがあるメールが何通も送られてきたことはないでしょうか。間違ってもそういったメールの添付ファイルを開いてはいけません。
誤ってファイルを開いてしまい、感染してしまったかもしれないと不安になった場合は、IT保守やセキュリティ対策の専門家にご相談してください。常に最新の情報をチェックしているプロフェッショナルへ相談することが解決への近道です。
PPAPの代替方法を社内に根付かせるための方法や、社内に潜んでいるセキュリティリスクなどの詳細を調査してくれますし、緊急の対応も可能な企業が大半です。
IT保守のアウトソーシングをおこなっておりますITボランチは、多くの中小企業様のIT環境を保守、改善しています。多くのインシデントを解決してきた実績やノウハウを有しているのでお困りの方はぜひご連絡ください。企業の成長をサポートしたいというポリシーで、費用も抑えたかたちでご提案しております。
