COLUMN

お役立ち情報

PPAPは誤ったセキュリティ対策?使い続ける危険性と脱PPAPの方法を解説

  • このエントリーをはてなブックマークに追加

PPAPは、パスワード付きZIPファイル添付時のメール送受信の略省です。以前はメールにファイルを添付するのは一般的で、誰もがセキュリティのためパスワードをかけた圧縮ファイルを添付してメールを送信していました。

近年では、セキュリティ対策として不十分で問題があるということで、PPAPが急速になくなってきています。

近年のサイバー攻撃の巧妙化により、セキュリティの脅威が急増しています。よりセキュリティレベルの高い方法への移行が急務です。

当記事では、PPAPを使い続ける危険性と脱PPAPのための代替案をご紹介します。

□■□■IT業務のお悩みやお困りごと、コスト削減をお考えなら、解決手段があるはず!まずはITボランチへご相談(無料)ください。無料でのご相談はこちらから□■□■

PPAPとは

PPAP(Password Protected Attachment Protocol)は、メール添付ファイルを送信する際に、送信者がファイルをパスワード付きZIP形式で暗号化し、そのパスワードを別途受信者に送信する方法です。受信者側は、送信者が知らせたパスワードを使用してファイルの閲覧が可能になります。

WindowsであってもMacOSであってもパスワード付きzipファイルを扱えることからも広く利用されています。

この方式は、簡易的な情報保護を目的としてビジネス上で広く利用されていますが、最近のセキュリティ基準から見ると多くの問題点を抱えています。

誤ったセキュリティ対策

残念ながらPPAPは、本質的なセキュリティ対策としては不十分です。
パスワードをメールで送信すること自体がセキュリティリスクを伴い、盗聴や情報漏えいの可能性を高めてしまいます。
また、使用される暗号化プロトコルが脆弱であることが多く、容易に解読される危険性があります。

プライバシーマーク取得時の審査基準ではない

PPAPは、プライバシーマーク取得時の審査基準ではありません。

プライバシーマーク制度とは、個人情報の保護を適切に行っている事業者であることを評価する制度です。
プライバシーマーク取得時には、より強固なデータ保護の規準を満たす必要があります。

そのため、PPAPは審査基準をクリアできる水準となりません。

参考:一般財団法人日本情報経済社会推進協会(JIPDEC)「プライバシーマーク制度

作業効率が優先され形骸化した習慣

多くの企業でPPAPは、ファイル添付時のメール送受信のセキュリティ対策として定着しています。
しかし、実際のセキュリティ向上にはつながっていません。

セキュリティを細かく管理する仕組みを構築しようとすると手間が掛かります。
そのため、ファイル添付のメール送信手順は作業効率が優先され、セキュリティが犠牲にされており、これが新たな脅威を生み出す原因となっています。

PPAPを使い続ける危険性

PPAPの危険性とは

PPAPを使い続けることは多くの危険が伴います。その中で、特に危険な問題を3つ紹介します。

誤送信でパスワードまで漏洩する

誤送信という単純な操作ミスによって、重要な情報が外部に漏洩するリスクがあります。

例えば、社外メンバーがいるプロジェクトの情報をやり取りする際に、誤って受信側にプロジェクト以外のメンバーを設定しパスワードを送信してしまうケースです。
誤信は、誰しも一度は経験があるミスであるため、PPAPの利用は危険といえます。

悪用されてマルウェア配布の温床になるケースもある

PPAPは暗号化されずに送信されるため、悪意のある第三者によって傍受、盗聴の可能性があります。これにより、マルウェアの配布などに悪用されるケースが多いです。マルウェア配布時には、受信者は信頼できる送信先からの攻撃であるため、警戒する可能性が低く、その結果として感染が拡大します。

PPAPで使われている暗号自体が脆弱

PPAPの暗号化方式は、十分なセキュリティ対策が施されていません。
そのため、簡単に解読される可能性があります。
送信した情報は不正にアクセスされ、情報が外部に漏れるリスクが非常に高まります。

中小企業でも急増中のセキュリティの脅威

現在セキュリティの10大脅威の組織版として、

  • 標的型攻撃による機密情報の窃取(4位)
  • ビジネスメール詐欺による金銭被害(8位)

といった脅威が現在取り上げられています。

標的型攻撃は、取引先を装い、攻撃対象へ送信し、情報を盗み取る手法が利用されています。
近年、企業側もセキュリティ対策を進めているものの、被害に遭う可能性が高いです。

ビジネスメール詐欺では、架空の請求書を送付して振り込ませるといった方法で金銭をだまし取る手段が主流になっています。
標的型攻撃より巧妙な手口もあり、こちらも順位は標的型攻撃よりも低いものの、対策をしておきたい脅威です。

PPAPを含めたメールセキュリティ全般の対策を行う際は、次のポイントを踏まえてみましょう。

社内のITリテラシーを高める

社内のITリテラシーを高めるには、研修や対策を考えて、啓蒙する方法などが有効です。

セキュリティ上問題があるやり取りを変更する

PPAPにようにセキュリティ上問題があるやり取りを社内規則として見直す方法も有効です。

セキュリティ対策ソフトや脅威に備えられるシステムを導入する

パスワード付きZIPファイルにも対応できるセキュリティ対策ソフトやセキュリティ機能が充実しているシステムの利用も有効です。

参考:IPA-情報セキュリティ10大脅威 2024

政府の発表でPPAPは廃止の動きへ

2021年に日本政府は、国内のデジタルセキュリティ基準を大幅に見直すと発表しました。
この見直しには、PPAPの使用に対する具体的な廃止計画が提示され、近年のサイバー脅威に不十分であると問題視されました。

日本政府は、より高度なセキュリティ対策の導入を促すため、暗号化技術の更新やセキュアなファイル共有方法への移行を推奨しています。

内閣サイバーセキュリティセンター(NISC)は、全国の公共機関および重要インフラに対して、エンドツーエンド暗号化されたコミュニケーションツールの採用を義務付けるガイドラインを更新しました。

このガイドラインによれば、個人情報や機密情報の取り扱いがより厳格に管理され、データ漏えいのリスクが減少する見込みです。

この動きは民間企業にも波及し、多くの企業が旧来のPPAPから新しい安全なデータ管理方法へと移行を進めています。

日本政府や団体が動き出した流れを受けてニュースでもPPAPが注目され、一般にもその問題が広がりました。
PPAPへの関心が高まっている今だからこそ、PPAPを廃止してセキュリティを確保できる新方式でファイルのやり取りができる環境を構築していきたいところです。

脱PPAPを実践するメリット

PPAPの運用から脱却した場合のメリットを紹介します。

セキュリティリスクの低減

PPAPは、前述した通り、ファイルをパスワード付きZIP形式で送信する古い方法で、多くのセキュリティリスクが伴います。

特に、パスワードの漏洩やzipファイルの脆弱性が問題です。
これらの問題は、脱PPAPによって企業のデータ保護を強化し、攻撃者からのサイバー攻撃や情報漏えいの可能性を減少させます。

例えば、ZIP形式ではなく、クラウドストレージやセキュアなファイル送信サービスを使用することで、データの安全性が大幅に向上するでしょう。
安全な方法で情報を共有することで、企業のデータセキュリティを守ることが可能です。

メール送信業務の効率化

PPAPのプロセスは手間がかかり、特に大量のファイルを送信する時にはその効率の低さが顕著になります。具体的には、パスワードの生成や送信・管理、ZIP形式の圧縮率の低さによる送信時に時間がかかってしまう点です。

脱PPAPで、よりスムーズで迅速なファイル共有方法が可能になり、業務効率の向上が期待できます。
例えば、リアルタイムでファイル共有が可能なチャットツールやグループウェアの使用は、作業の迅速化に大きく貢献するでしょう。

PPAPの代替案4選

ここではPPAPの対策方法として代替案を4つ紹介します。

クラウドストレージ(オンラインストレージ)

クラウドストレージサービスは、ファイルをオンラインで安全に保存し、指定したユーザーと共有することができるため、セキュアなファイル共有が可能です。

例えば、Google DriveやDropbox、Boxは、エンドツーエンドの暗号化を提供し、外部からのアクセスを防ぎながら、どこからでもアクセス可能な環境を実現します。
そのため、メールセキュリティ対策として有効なツールです。

クラウド上にデータを保存して共有できるため、バックアップとしても有効で手軽という点も高く評価できます。

他にもクラウドストレージには、以下3つのメリットがあります。

  • アクセス権限やダウンロード権限などを細かく設定できる
  • クラウド上でファイル内容をプレビューできるので安心できる
  • ZIP付きファイルと同じようにパスワードで情報の保護が可能

適切な権限発行やパスワード共有などができていれば、「いちいち別の人員に同じファイルを送る」といった手間も掛からなくなりますし、誤送信の危険も減らせます。
メールと違い、ファイル容量に上限が掛かりにくいのもメリットです。

グループウェア

グループウェアは、メールやカレンダー、ファイル共有、タスク管理を一つのプラットフォームで統合管理できるツールです。
グループウェアの活用は情報の一元管理が可能となり、セキュリティの強化と情報漏えいのリスク低減が期待できます。
例えば、Microsoft TeamsやSlackは、企業内コミュニケーションを効率化するだけでなく、セキュアな環境での情報共有が可能です。

グループウェアに搭載されている以下2つの機能が有効です。

  • 宛先を自動チェックする
  • 送信後も一定時間取り消しが可能

また、クラウドタイプでも根本的なセキュリティが強固なサービスが多く、メール以外の工程も自動化できるため業務効率化に効果が期待できます。

データ送信サービス

ZIP付きファイルの暗号化強度が気になる方には、ウィルスチェックをしてくれるデータ送信サービス(ファイル転送サービス)がおすすめです。
専門のデータ送信サービスを使用することで、ファイルの暗号化と送信の安全性が保証されます。
これらのサービスは、大容量のデータでも高速で安全に送信できるよう設計されています。

例えば、SendAnywhereやWeTransferなどのサービスは、高いセキュリティが期待できるでしょう。
クラウドを通して大容量のデータも送信できるデータ送信サービスには、以下3つのメリットがあります。

  • セキュリティに気を付けている提供元が多い
  • SSLで強固なデータ暗号化を実現できる
  • トラッキング機能でメールの送信状況を調査できる

公式サイト:楽天シンフォニーコリア「SEND ANYWHERE

公式サイト:「WeTransfer

チャットツール

テレワークの普及など、近年の多様な働き方によりチャットツールが注目されています。
チャットツールは、テキストメッセージをやり取りするためのアプリケーションです。

リアルタイムでのコミュニケーションが可能であり、個人間だけでなく、グループチャットやチャンネルを通じたコラボレーションも行えます。
チャット以外にもファイル共有やビデオ会議など、多岐にわたる機能を提供します。例えば、ZoomやMicrosoft Teamsは、エンドツーエンド暗号化が可能です。

そのため、チャットツールの導入も効果的といえます。ただし、双方でアカウントを用意する必要があったりと準備が必要なので注意が必要です。

PPAPの代替案を検討するときに気をつけること

PPAPから脱却し、よりセキュアで効率的な代替案への移行が推奨されています。
ここでは、代替案を選定する際に注意すべき点と、そのメリットを詳細に解説します。

セキュリティの安全性と利便性を両立できるものを選ぶ

代替案を選ぶ際の最も重要な点は、セキュリティの安全性と利便性のバランスです。
安全性が高いシステムでも、使い勝手が悪ければ正しく利用されない可能性があり、逆にセキュリティリスクを高めることになります。

例えば、クラウドストレージサービスはアクセスが容易で、適切な設定が求められます。
データの暗号化やアクセス管理、二要素認証など、セキュアな設定をした上で利用者が簡単に利用できるようにすることが必要です。

社員への危険性の周知と運用ルールの策定をする

新しいシステムを導入する際には、リスクを社員に周知し、正しい使用方法を周知することが重要です。

マルウェア感染の危険性やデータ漏えいのリスクなど、新システムが持つ潜在的な問題点を明確にし、従業員が問題なく利用できる具体的な規定を提供する必要があります。

例えば、不審なメールやリンクには注意し、未承認のデバイスからのアクセスを避けるなどのルールを設けましょう。

社員がセキュリティ意識を持ち、適切に情報を扱うことで、情報漏洩やセキュリティリスクを最小限に抑える
ことが可能です。

PPAPは卒業!代替策に移行してセキュリティリスクを軽減!

PPAPを現在も使い続けている方は、今後は利用を見直す必要があります。

IPAの情報セキュリティ10大驚異の2024年でも、組織編の1位はランサムウェアによる被害となっています。なんと2016年以降9年間10大脅威にランクインしているのです。

ニュースでも、スパムメールや迷惑メールに添付しているファイルを開いてしまってマルウェアに感染してしまい、金銭を要求されるなどの被害を耳にすることもにされたことがある人も多いでしょう。
企業の場合、このようなニュースは社会的な信用が低下する可能性が高いです。

特に、近年のランサムウェアなどのメールによるサイバー攻撃は巧妙化しているため、ITリテラシーが高い人でも引っかかる可能性があります。

ウイルス感染してしまったかもしれない、セキュリティ面が万全ではないのではないかと不安になった場合は、IT保守やセキュリティ対策の専門家にご相談してください。常に最新の情報をチェックしているプロフェッショナルへ相談することが解決への近道です。

PPAPの代替方法を社内に根付かせるための方法や、社内に潜んでいるセキュリティリスクなどの詳細を調査してくれますし、緊急の対応も可能な企業が大半です。

IT保守のアウトソーシングをおこなっておりますITボランチは、多くの中小企業様のIT環境を保守、改善しています。
多くのインシデントを解決してきた実績やノウハウを有しているのでお困りの方はぜひご連絡ください。

また、トラブルや問題が起こったときに、すぐに相談できる専門化がいないと不安ですよね。ITボランチならトラブルが起こったらご相談いただけます。

企業の成長をサポートしたいというポリシーにて、きる限り継続費用も抑えてご提案しております。初回のご相談は完全無料ですので、お気軽にご相談ください。

保守契約だけではなく、スポットでの対応も承りますので、まずはご利用いただければと思います。

  • このエントリーをはてなブックマークに追加

SNSでもご購読できます。