法人向け電子メールのセキュリティ対策・コンプライアンス対策の専門企業、サイバーソリューションズ株式会社(所在地:東京都港区、代表取締役社長:林界宏、以下当社)は、2023年1月に全国の従業員300名以上の企業の社員1,063名を対象に、「企業のメールセキュリティへの取り組みに関するアンケート調査」を行いました。
【脱PPAPの実態調査レポート】https://download.cybersolutions.co.jp/wp/ppap_2023
その結果、企業が採用しているファイル送信方法として、4割弱の企業が「PPAPは利用していない」、3割強が「PPAPと他のファイル送信方法を併用」、約3割が「PPAPのみを利用」となり、企業の「脱PPAP」(PPAPから他のファイル送信方法への転換)は約7割と過渡期にあることが示されました。PPAPを利用している企業の8割が代替策を導入または検討しています。PPAPの利用率は規模が大きい企業ほど高く、広範囲・深刻な被害が心配されます。
【注目ポイント】
- 「脱PPAP」は約7割と過渡期 「PPAP以外」4割弱、「併用」3割強、「PPAP」約3割
- 規模が大きい企業ほどPPAP利用率が高く、広範囲・深刻な被害が心配される
- およそ2割の企業がPPAPの代替策の導入・検討を行っていない
■調査結果
Topic1.「脱PPAP」は約7割と過渡期 「PPAP以外」4割弱、「併用」3割強、「PPAP」約3割
企業 の「脱PPAP」(PPAPから他のファイル送信方法への転換)は7割と過渡期にあると言えます。企業によって、PPAPメールを受信する企業もあれば、受信を拒否する企業もあるほか、オンラインストレージなどの代替手段が採用できる企業、できない企業が存在します。このような環境の違いがあることが、「併用」が3割強を占める要因の1つになっていると考えられます。
Topic2.規模が大きい企業ほどPPAP利用率が高く、脱PPAPの遅れの要因になっている
これまでPPAPは規模が大きい企業ほど普及してきた背景もあり、規模が大きい企業ほど脱PPAPが遅れていることが示されました。多くのユーザーを抱え、影響力が大きい大規模企業で脱PPAPが進めば、日本のビジネスコミュニケーションがより安全な環境になります。今後は大規模企業での脱PPAPが加速することが期待されます。
Topic3.およそ2割の企業がPPAPの代替策の導入・検討を行っていない
「これらの対策の導入・検討は行っていない」は19.8%とおよそ2割。このように回答した企業は、PPAP利用が引き起こす事故のリスク対応が後回しになっている可能性が高いと言えます。
■調査結果について当社のコメント
PPAPとは、メールでパスワード付きのZIPファイルを送り、別メールでZIPファイルのパスワードを送る添付ファイル送信方法です。PPAPは2010年あたりから多くの日本企業・官公庁で利用されるようになりました。しかし、2020年頃から、PPAPは添付ファイルのウイルスチェックができず、EMOTETなどの侵入を受けやすいなどの危険性が指摘されるようになりました。内閣府は令和2年11月26日に内閣府内のPPAPの利用を廃止しました。これを受けて行政機関や企業では脱PPAP(PPAP廃止)の動きが進んでいます。
PPAPには次の3つの課題があります。
-
-
ウイルス感染の危険
PPAPではZIP圧縮ファイルを送信します。ZIPファイルを受信したユーザーが解凍すると、悪意あるウイルスの実行プログラムが含まれている場合もありますが、従来のセキュリティチェックサービスではこれを検知・除去することができません。実際にZIPファイルを解凍すると感染するウイルス「Emotet」の流行では多くのPPAPを利用する企業が被害を受けました。 -
盗聴対策の効果が低い
添付ファイルをZIPで暗号化するというやり方は、メール送信経路の暗号化技術が普及していない頃に、送信経路上での盗聴を防ぐため始まりました。今では、TLS暗号化送信に対応したメールサーバが普及しているので、経路の途中で盗聴されるというリスクはほとんどありません。セキュリティインシデントのほとんどは、エンドポイントにて発生しており、メール受信経路上ではありません。 -
誤送信の危険
PPAPではファイル本体をメールに添付して送信します。そのため、誤送信が起きた場合に後からファイルを削除して取り消すことができません。
-
これらの課題を解決し、添付ファイルを安全に送受信するには、次のような対策が有効です。
<添付ファイルを送信する場合>
-
-
ファイルはオンラインストレージに保存し、ファイルとパスワードは別経路で送信する。なお、ユーザーがメールで添付ファイルを送信すると、自動で添付ファイルを分離してオンラインストレージに保存し、別経路で相手にダウンロードURLを送るツールもあります。
-
<添付ファイルを受信する場合>
-
-
PCで受信する前に、オンラインストレージ上でZIPを解凍し、ウイルスのパターンと照合してチェックする。
-
パターンファイルで定義されていない未知のウイルスについて、サンドボックスで振る舞いを確認する。
-
なお、当社はクラウド環境やオンプレミス環境の法人に、添付ファイルを安全に送受信するための各種ツールを提供することで、脱PPAPを後押ししています。
■【脱PPAP」の実態調査レポート】
本調査のより詳細なレポートは、特設ページからダウンロードすることができます。企業のメールセキュリティを強化するための情報収集としてぜひご活用ください。
■【PPAP問題への対応とメールセキュリティの現実解 座談会レポート】
当社マーケティング部部長國分隆博と、PPAPの名づけ親である合同会社PPAP総研の代表社員大泰司章氏、企業のセキュリティインシデント対応行ってきたInternet Secure Services株式会社最高責任者の徳田敏文氏の3名で「PPAP」をテーマに対談したレポートを公開します。ぜひご覧ください。
■【企業のメールセキュリティへの取り組みに関するアンケート調査】
ランサムウェアをはじめ企業のサイバー攻撃の被害は年々深刻化しており、侵入経路になりやすい電子メールのセキュリティ対策は重要度が増しています。
2023 年 1 月 6 日 から 2023 年 1月 10 日 まで、全国の従業員 300 名以上の企業の経営者・情報システム部門・一般社員、合計1063名を対象に企業の電子メールに関して、サイバー攻撃の状況やセキュリティ対策の実態を把握するため「企業のメールセキュリ ティへの取り組みに関するアンケート調査」を行い、調査結果を公開します。ぜひご覧ください。
<調査概要>
調査対象:全国、従業員数300名以上の企業に勤務する情報システム部所属社員
調査方法:インターネット調査
有効回答数:1000名
実施期間:20213年 1 月 6 日~2023年1月10 日
※掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がりますので、ご了承ください。
【製品やサービスに関するお問合わせ】
サイバーソリューションズ株式会社 営業本部
電話 03-6809-5858
メール sales@cybersolutions.co.jp
*記載されている会社名・製品名は、各社の登録商標または商標です。