セキュリティ対策としてPPAPを利用している企業は多いでしょう。一方で、政府をはじめ企業の多くがPPAPの廃止に向けて取り組みを進めています。この記事では、PPAPの問題点をはじめ、廃止することで得られるメリットや代替手段などを解説します。
Cloud Mail SECURITYSUITEのサービス資料を受け取る
SECURE DRIVEのサービス資料を受け取る
目次
PPAPとは?
そもそもPPAPとは何なのか、PPAPの概要や意味を押さえておきましょう。
PPAPの内容
PPAPとは、セキュリティ対策方法のひとつです。1度目のメールでパスワード付きzipファイルを暗号化してメールに添付し、2度目のメールで解凍用パスワードを送信するという方法です。
PPAPを構成する言葉
PPAPは2019年頃までセキュリティ対策として多くの企業が採用していました。PPAPは以下のような内容で構成されています。
P:Password付きzipファイルを送る
P:Passwordを送る
A:暗号化
P:Protocol
PPAPが利用されてきた背景
政府によって個人情報保護法が施行された2005年以降、企業ではプライバシーマークを取得する動きが広まりました。この流れのなかで、一部のコンサルタントが、総務省のガイドラインを参考にしながら規定を作成したものの、文言の解釈について十分な検討が行われなかった可能性があります。
結果的に、ガイドラインに記された文言について、正確に認知されないままPPAPが多くの企業に広まったといわれています。
PPAPが問題視されている理由
セキュリティ対策として運用していたPPAPに問題があるといわれる理由には、以下のようなものがあります。
ウイルスチェックが困難
zipファイルは内部のファイルがウイルス感染していたとしても、ウイルス対策ソフトが検知できない点が問題です。zipファイルを開かない限りウイルスチェックができないため、ウイルスが潜んでいた場合にデバイスに感染するリスクがあります。
関連記事:ランサムウェアに感染したらどうする? 予防から復旧までの対策【情シス向け】
メール内容の漏洩
PPAPは、合計2回のメールを送る手法です。最初のメールに暗号化したzipファイル、2回目のメールでパスワードを送ります。一見すると安全性が高いように思うかもしれませんが、同じ経路を辿って送信するため安全性が高いとはいえず、メールの内容が漏洩するリスクがあります。
zip暗号強度の脆弱性
zipの暗号強度が脆弱であり、短時間で解読されるリスクがあります。パスワード自体が安直に設定されている場合も多いため、予想・解析されやすいことが問題です。
ヒューマンエラー防止が困難
メールを使用する以上、ヒューマンエラーが起こる可能性があります。宛先の間違い、送信ファイルの誤送信、セキュリティポリシー違反など、実質的に防ぐのが難しい問題です。
送受信者の業務負担
zipファイルとパスワードのメールをそれぞれ送受信する、パスワードを管理する、暗号化する、ZIPファイルを開封するなど、送信者・受信者側の負担になりやすいのも問題です。送信者・受信者ともに作業効率がよいとはいえません。
PPAPを特に避けた方がよいケース
高度なセキュリティが求められるデータの送信は、情報漏洩のリスクがあるので避けた方がよいでしょう。また、ヒューマンエラーのリスクがあるため、大量データの転送が関与する場面にも向いていません。
PPAPにまつわるトラブル
群馬県において、メール誤送信による個人情報の流出があったトラブル例です。送信するファイルは市町村ごとに用意していたものの、同じ経路で全市町村宛に共通のパスワード通知メールを送信する、PPAPの運用が行われていました。
パスワードの通知を行う際に、とある市町村宛の添付ファイルを削除しないまま通知を行ったという人為的なミスで情報が流出してしまいました。トラブル後は市町村ごとに異なるパスワードを設定すること、パスワード送信はメールで行わないことなどの対策を行っています。
PPAP廃止への動き
政府をはじめ多くの企業においてPPAPを廃止する動きが進んでいます。PPAP廃止への動きについて、政府・企業それぞれの動きを解説します。
政府の動き
平井デジタル改革担当相(2020年当時)は、内閣府と内閣官房でPPAPを廃止することを発表しました。セキュリティ対策や受け取る側の利便性の向上が主な理由です。2021年には総務省が「テレワークガイドライン」でPPAP代替案について言及しています。
※参考:平井内閣府特命担当大臣記者会見要旨 令和2年11月24日|内閣府
関連記事:脱PPAPとは?PPAPに潜む課題と廃止の背景や対策方法まで解説!
企業の動き
多くの企業では、2021年頃からパスワード付きzipファイルの禁止、または廃止を表明しています。
・2021年7月、NTTデータがPPAPを禁止
・2021年10月、日立製作所が2021年12月から日立グループにおいてのPPAP廃止
・2022年2月、ソフトバンクがPPAPの利用廃止
・2022年3月、三菱重工がパスワード付き圧縮ファイルの利用廃止
・2022年8月、小野薬品工業がzipファイル(パスワード付き)添付のメール受信停止
・2022年11月、小学館が圧縮ファイル(パスワード付き)の 利用廃止
関連記事:脱PPAPとは?PPAPに潜む課題と廃止の背景や対策方法まで解説!
企業がPPAPを廃止して得られるメリット
企業がPPAPを廃止すると以下のようなメリットが得られます。
セキュリティ対策の強化
「PPAPが問題視されている理由」で触れた通り、PPAPにはセキュリティ上さまざまなリスクがあるのが問題とされていました。別のセキュリティ対策に変更することで、より安全な方法でファイルを送信できるようになります。
信頼性の向上
PPAPは取引先へのセキュリティにも影響します。たとえば、送信したメールに添付していたファイルがウイルス感染していた場合、受け取る側の端末がウイルス感染してしまう恐れがります。自社を守ることは他社を守ることにもなります。
業務効率化
PPAPはデータ送信用とパスワード送信用のメールを2回送信する、ランダムなパスワードを発行をするなど手間がかかる方法です。別の方法を採用すれば、作業負荷が減って生産性の高い業務に集中できるでしょう。
PPAPの代替手段
PPAPを廃止した場合、代替手段として以下のような方法があります。
メールセキュリティサービスの利用
メールセキュリティサービスでは、送受信されるすべてのメールにおいて、マルウェア、スパム、情報漏洩などに対する対策や誤送信防止、アーカイブなどの機能がつきます。一部のメールセキュリティサービスでは、添付ファイルとメール本文を自動的に分離するなど、脱PPAPを実現する機能がついているものもあります。
サイバーソリューションズでは、低価格かつ高品質の「脱PPAP対策ソリューション」を提供しています。パスワード付きzipファイルの受信時にウイルスチェックや誤送信対策を強化し、安全で効率的なメール運用を実現しています。
3ステップの簡単導入で、現在使用中のメール環境をそのまま利用可能です。約2万社に及ぶ導入実績に裏付けされた高品質のサービスをご利用ください。
関連記事:標的型攻撃メールを防御!失敗しないメールセキュリティ対策の選び方
S/MIMEの利用
S/MIMEとは、送信メール自体を暗号化する技術で、改ざんやなりすましを防げます。ただし、送信者・受信者ともにS/MIMEに対応しなければなりません。
ファイルとパスワードを別経路で送る
メールでzip暗号化ファイルを送信して、パスワードは電話やチャットなどメールとは異なる経路で伝達する方法です。PPAPに比べて、第三者の通信傍受のリスクは避けられます。ただし、誤送信などのヒューマンエラーが起こり得ることは課題といえるでしょう。
ビジネスチャットの利用
ビジネスチャットを通じてファイルを送受信する方法です。通信が暗号化されているため、ファイルも自動的に暗号化されます。ほかの方法に比べて簡単に実現できる点がメリットですが、送受信者ともに同じサービスのアカウントが必要です。
サイバーソリューションズの「CYBERCHAT(サイバーチャット)」は、テレワークなど場所を選ばずに、スピーディーな情報共有が可能なビジネスチャットです。日付や発言者での検索、タグやマークでの分類にも対応しています。手軽に利用できるからこそ起こり得るハラスメント対策も万全です。社内外問わず、円滑なチームワークの実現につなげられます。
ファイル転送サービスの利用
ファイル転送サービスとは、インターネット上でファイルを送受信するサービスです。ファイルを送る側がダウンロード用のURLを取得し、受信者に通知する仕組みのため、URLの誤送信による情報漏洩のリスクの可能性はあります。
サイバーソリューションズの「SECURE DRIVE(セキュアドライブ)」は、ファイルの送受信、共有が簡単にできる大容量ファイル転送サービスです。最大5GBまでアップロードでき、ウイルスチェックも自動で実施します。細かい権限設定も可能で、情報漏洩のリスクを軽減できるサービスです。
クラウドストレージの利用
クラウドストレージを利用してファイルを共有する方法です。アクセス制限や権限の設定が簡単に行えるため、セキュリティを確保しながら効率的に情報を共有できます。ただし、無料サービスではできることが限られるので、セキュリティを強固にしたい場合は、有料のサービスを利用するとよいでしょう。
PPAPの代替手段のメリット・デメリット
PPAPの代替手段には、セキュリティの強化やヒューマンエラー防止などのメリットがあります。一方で、手段によっては手間がかかったり、送受信者で同じツールを使ったりするケースがあるなど、いくつかのデメリットが発生する点も理解しておかなければなりません。
関連記事では、各PPAPの代替手段のメリット・デメリットを一覧にしているので、ぜひ参考にしてください。
関連記事:失敗しないPPAP代替案の選び方
PPAPから代替する際に注意すること
PPAPを廃止し、代替ツールを利用する際は「企業で認めていないサービスを勝手に使わない」など、企業としてのルールを明確にしておくことが重要です。また、従業員の利用状況を管理し、誤った利用があれば是正できるようにしておくことも必要になります。
サイバーソリューションズが提供する「Cloud Mail SECURITYSUITE(CMSS)」は、送付先企業ごとに異なるセキュリティ設定を自動で適用します。PPAP対策、誤送信防止など、きめ細やかな対応で情報漏えいリスクを軽減できるセキュリティサービスです。
Cloud Mail SECURITYSUITE(CMSS)
まとめ
PPAPはセキュリティ対策のひとつとして多くの企業で採用されてきました。しかし、ウイルスチェックやヒューマンエラーの防止が困難であること、業務効率が低下しやすいなどの問題から、政府をはじめ企業でも廃止の方向に向かっています。
サイバーソリューションズは、低価格かつ高品質で多様な「脱PPAP対策ソリューション」を提供しています。セキュリティサービスや、大容量ファイル転送サービスの資料は以下から受け取ることが可能です。PPAPの危険性について詳しく知りたい場合は、無料でダウンロード可能なガイドブックをご覧ください。
