セキュリティ対策として、PPAPを利用している企業も少なくありません。一方で、政府をはじめ、企業の多くがPPAPの廃止に向けて取り組みを進めています。この記事では、PPAPの問題点、廃止することで得られるメリットや代替手段などについて解説します。
Cloud Mail SECURITYSUITEのサービス資料を受け取る
SECURE DRIVEのサービス資料を受け取る
目次
PPAPとは?
PPAPとはどのようなものでしょうか。ここでは、PPAPの概要や意味について解説します。
PPAPの仕組み
PPAPとは、セキュリティ対策方法のひとつで、2019年頃までセキュリティ対策として多くの企業が採用していました。1度目のメールでパスワード付きzipファイルを暗号化してメールに添付し、2度目のメールで解凍用パスワードを送信するという方法です。
PPAPを構成する言葉
PPAPは、以下の頭文字を取った略語です。
P:Password付きzipファイルを送る
P:Passwordを送る
A:暗号化(ローマ字表記「Angouka」)
P:Protocol(プロトコル)
プロトコルとは、データを送受信する際のルールや方法、手順のことです。
PPAP対策やメールセキュリティ強化サービス
サービスの概要資料を受け取るPPAPが利用されてきた背景
政府によって個人情報保護法が施行された2005年以降、企業ではプライバシーマークを取得する動きが広がりました。この流れのなかで一部のコンサルタントが、総務省のガイドラインを参考にしながら規定を作成したものの、文言の解釈について十分な検討が行われなかった可能性があります。
結果的に、ガイドラインに記された文言について、正確に認知されないままPPAPが多くの企業に広がったといわれています。
PPAP対策やメールセキュリティ強化サービス
サービスの概要資料を受け取るPPAPの問題点・危険性
セキュリティ対策として運用していたPPAPに問題があるといわれる理由には、以下のようなものがあります。
ウイルス感染やマルウェアの侵入
zipファイルは内部のファイルがウイルス感染していたとしても、ウイルス対策ソフトが検知できない点が問題です。zipファイルを開かない限りウイルスチェックができないため、ウイルスが潜んでいた場合にデバイスに感染するリスクがあります。
また、ウイルスチェックをすり抜けることで、マルウェアが侵入する可能性もあります。特にPPAPの仕組みを悪用した攻撃で有名なのがEmotetです。取引先などを装ったメールに、悪意あるマクロを含むファイルを添付して、受信者に解凍・実行させるといった手口で、被害を拡大させています。
関連記事:ランサムウェアに感染したらどうする? 予防から復旧までの対策【情シス向け】
メール内容の漏洩
PPAPは、合計2回のメールを送る手法です。1通目のメールに暗号化したzipファイル、2通目のメールでパスワードを送ります。2回に分けて送信することで安全性を確保していると思われがちですが、同じ経路を辿っているため安全性が高いとはいえず、メールの内容が漏洩するリスクがあります。
zip暗号強度の脆弱性
zipファイルの暗号化方式は、主に「ZipCrypto」と「AES-256」の2種類です。zipファイルへの利用が多いZipCryptoは設計が古いため、解析ツールによってパスワードが解読される可能性があります。パスワード自体が安直に設定されている場合も多いため、予想・解析されやすいことも問題です。
一方のAES方式は暗号強度が高いものの、互換性に課題があり、普及が進んでいません。結果として、セキュリティレベルが低いZipCrypto が多用されている実態が、PPAPにおける大きなリスクです。
パスワードの無限試行
zipファイルは、パスワードを入力する回数に制限がありません。 そのため、自動試行ツールなどを用いた機械的な総当たり攻撃によってパスワードが解読されて、zipファイルが開封されてしまう可能性があります。文字数や記号を増やして強度を高めても、試行できる回数が無制限である以上、時間をかければ突破されかねません。
ヒューマンエラーの防止が困難
メールを使用するにあたっては、ヒューマンエラーが起こる可能性があります。宛先の間違い、ファイルの誤送信、セキュリティポリシー違反など、実質的に防ぐのが難しい問題です。
送受信者の業務負担
zipファイルとパスワードのメールの送受信、パスワード管理、暗号化、zipファイルの開封など、送信側と受信側の双方にとって負担になりがちであることも問題です。送信者・受信者ともに作業効率がよいとはいえません。
PPAP対策やメールセキュリティ強化サービス
サービスの概要資料を受け取るPPAPを特に避けるべきケース
高度なセキュリティが求められるデータの送信は、情報漏洩のリスクがあるため、避けるべきでしょう。また、ヒューマンエラーのリスクがあることから、大容量のデータを送信する場面にも向いていません。
PPAP対策やメールセキュリティ強化サービス
サービスの概要資料を受け取るPPAPにまつわるトラブルの事例
PPAPはファイルとパスワードを同じ経路で送信するため、宛先を間違えると第三者に情報が渡ってしまうリスクがあります。ここでは、PPAPの利用におけるトラブルの事例について解説します。
群馬県(2021年)
群馬県において、メール誤送信による個人情報の流出が起きた事例です。送信するファイルは市町村ごとに用意していたものの、同じ経路で全市町村宛に、共通のパスワード通知メールを送信するという方法で、PPAPを運用していました。
パスワードを通知する際に、ある市町村宛の添付ファイルを削除していなかったという人的ミスで、情報が流出してしまいました。このトラブルの後は、市町村ごとに異なるパスワードを設定する、パスワードはメールで送らないといった対策をしています。
研究開発機関(2023年)
国立研究開発法人において、職員が外部機関にメールを送る際に、本来の相手と同姓の別人に個人情報を含むファイルを誤送信する事故が起きました。ファイルはPPAP方式で暗号化されていたものの、解凍用のパスワードも同じ宛先に送信してしまい、個人情報が第三者に渡る事態となりました。
当事者からの問い合わせで発覚するまで、報告されていなかったことも問題とされました。同法人は、送信先確認の徹底やオンラインストレージによるファイル共有への移行、インシデント対応に関する周知といった再発防止策を講じています。
PPAP対策やメールセキュリティ強化サービス
サービスの概要資料を受け取るPPAP廃止への動き
政府をはじめ、多くの企業においてPPAPを廃止する動きが進んでいます。ここでは、PPAP廃止への動きについて、政府と企業の対応を解説します。
政府の動き
平井デジタル改革担当相(2020年当時)は、内閣府と内閣官房におけるPPAPの廃止を発表しました。セキュリティ対策や受け取る側の利便性の向上がおもな理由です。2021年には総務省が「テレワークガイドライン」で、PPAP代替案について言及しています。
※参考:平井内閣府特命担当大臣記者会見要旨 令和2年11月24日|内閣府
関連記事:脱PPAPとは?PPAPに潜む課題と廃止の背景や対策方法まで解説!
企業の動き
2021年頃から、多くの企業がパスワード付きzipファイルの禁止、または廃止を表明しています。
- 2021年7月 NTTデータがPPAPを禁止
-
2021年10月 日立製作所が2021年12月から日立グループにおいてPPAPを廃止
-
2022年2月 ソフトバンクがPPAPを廃止
-
2022年3月 三菱重工がパスワード付きzipファイルの利用を廃止
-
2022年8月 小野薬品工業がzipファイル(パスワード付き)添付のメール受信停止
-
2022年11月 小学館が圧縮ファイル(パスワード付き)の利用を廃止
関連記事:脱PPAPとは?PPAPに潜む課題と廃止の背景や対策方法まで解説!
PPAP対策やメールセキュリティ強化サービス
サービスの概要資料を受け取るPPAPの廃止で企業が得られるメリット
PPAPを廃止することで、企業が得られるメリットについて解説します。
セキュリティ対策の強化
前述の「PPAPの問題点・危険性」で触れたとおり、PPAPはセキュリティ上のさまざまなリスクが問題視されています。そこで別のセキュリティ対策に変更することで、より安全な方法でファイルを送信できるようになります。
信頼性の向上
PPAPは取引先のセキュリティにも影響します。たとえば、送信メールの添付ファイルにウイルスが含まれていた場合、受け取る側の端末がウイルスに感染してしまう可能性があります。自社を守るためのセキュリティ対策は、他社を守ることにもつながります。
業務の効率化
PPAPは、データ送信用とパスワード送信用のメールを2回送信する、ランダムなパスワードを発行するなど手間がかかる方法です。別の方法を導入すれば、作業負荷の軽減や業務の効率化が実現し、生産性の高い業務に集中できます。
PPAP対策やメールセキュリティ強化サービス
サービスの概要資料を受け取るPPAPの代替手段
PPAPを廃止した場合の代替手段として、以下のような方法があります。
メールセキュリティサービスの利用
メールセキュリティサービスでは、送受信されるすべてのメールにおいて、マルウェア、スパム、情報漏洩などに対する対策や誤送信防止、アーカイブなどの機能がつきます。一部のメールセキュリティサービスでは、添付ファイルとメール本文を自動的に分離するなど、脱PPAPを実現する機能が搭載されています。
サイバーソリューションズでは、低価格かつ高品質の「脱PPAP対策ソリューション」を提供しています。パスワード付きzipファイルのウイルスチェックや誤送信対策を強化し、安全で効率的なメール運用を実現しています。3ステップの簡単導入で、現在使用中のメール環境を利用可能です。約2万社に及ぶ導入実績に裏付けされた高品質のサービスをご利用ください。
関連記事:標的型攻撃メールを防御!失敗しないメールセキュリティ対策の選び方
S/MIMEの利用
S/MIMEは「Secure/Multipurpose Internet Mail Extensions」の略で、電子メールの安全性を高める暗号化技術です。送信メール自体を暗号化する技術で、第三者による盗み見を防ぎます。電子署名を付与することで送信者の身元を証明できるため、なりすましや改ざんの防止にも役立ちます。
ただし、利用するには送信者・受信者ともにS/MIMEに対応していなければなりません。導入コストや証明書の管理、運用面など、利用開始のハードルが高いのが課題といえるでしょう。
ファイルとパスワードを別経路で送信
メールでzipファイルを送信して、パスワードは電話やチャットなど、メールとは異なる経路で伝達する方法で、PPAPに比べて、第三者による通信傍受のリスクは避けられます。ただし、誤送信などのヒューマンエラーが起こり得ることは課題といえるでしょう。
ビジネスチャットの利用
ビジネスチャットを利用してファイルを送受信する方法です。通信が暗号化されているため、ファイルも自動的に暗号化されます。ほかの方法に比べて簡単に実現できる点がメリットであるものの、送信側と受信側の双方に、同じサービスのアカウントが必要です。
ファイル転送サービスの利用
ファイル転送サービスとは、インターネット上でファイルを送受信するサービスです。ファイルを送る側がダウンロード用のURLを取得し、受信者に通知する仕組みであるため、誤送信による情報漏洩のリスクはあります。
サイバーソリューションズの「SECURE DRIVE(セキュアドライブ)」は、ファイルの送受信と共有が簡単にできる、大容量ファイルの転送サービスです。最大5GBまでアップロードや細かい権限設定が可能です。また、ウイルスチェックも自動で実行することで、情報漏洩のリスクを軽減できるサービスです。
クラウドストレージの利用
クラウドストレージを利用してファイルを共有する方法です。アクセス制限や権限の設定が簡単にできるため、セキュリティを確保しながら効率よく情報を共有できます。ただし無料サービスでは、できることが限られています。セキュリティを強固にしたい場合には、有料サービスの利用がおすすめです。
PPAP対策やメールセキュリティ強化サービス
サービスの概要資料を受け取るPPAPの代替手段のメリット・デメリット
PPAPの代替手段には、セキュリティの強化やヒューマンエラー防止などのメリットがあります。一方で、手段によっては手間がかかったり、送受信者で同じツールを使ったりするケースがあるなど、いくつかのデメリットが発生する点も理解しておかなければなりません。
関連記事では、各PPAPの代替手段のメリット・デメリットを一覧にしているので、ぜひ参考にしてください。
関連記事:失敗しないPPAP代替案の選び方
PPAP対策やメールセキュリティ強化サービス
サービスの概要資料を受け取るPPAPから代替ツールに移行する際のポイント
PPAPを廃止して代替ツールを利用する際は、自社で認められていないサービスを独断で使わないといった、企業としてのルールを明確にすることが重要です。ここでは、代替ツールへの移行をスムーズに進めるためのポイントについて解説します。
PPAPの代替ツールの選び方
PPAPの代替手段を選ぶ際は、安全性と使いやすさを両立させなければなりません。安全面では、高度な暗号化やウイルス検知に加え、二段階認証、閲覧権限の設定、操作ログなど、ヒューマンエラーを防ぐ仕組みが備わっているかを確認しましょう。
一方で、代替ツールの操作性も重要です。利便性が低いと業務に支障をきたし、社内に浸透しません。従業員にとって使い勝手のよいツールを選ぶことが、組織全体でのスムーズな導入と確実な情報保護につながります。
社内の利用環境の整備
PPAPを廃止して新しいツールを導入する際には、社内での運用ルールの整備と従業員への教育が必要です。ファイル共有の方法やアクセス権限、利用するサービスの基準などを明確にして、組織全体で統一したルールを定めましょう。
また、マニュアルの配布だけではなく、研修や説明会も実施します。操作方法に加えて、情報漏えいのリスクやPPAPの問題点への理解促進が、社員のセキュリティ意識の向上と円滑な運用につながります。
取引先への周知
PPAPの廃止をスムーズに進めるためには、取引先への周知と段階的な移行措置が欠かせません。一方的な変更は混乱をまねくため、廃止の背景にあるセキュリティ上のリスクについて、事前に理解を得ることが重要です。
クラウドストレージやファイル転送サービスなど、相手の環境に応じた複数の代替案を提示して、具体的な利用手順も共有しましょう。
PPAP対策には「Cloud Mail SECURITYSUITE(CMSS)」がおすすめ
サイバーソリューションズが提供する「Cloud Mail SECURITYSUITE(CMSS)」は、送付先企業ごとに異なるセキュリティ設定を自動で適用します。PPAP対策、誤送信防止など、きめ細やかな対応で情報漏えいリスクを軽減できるセキュリティサービスです。
Cloud Mail SECURITYSUITE(CMSS)
PPAP対策やメールセキュリティ強化サービス
サービスの概要資料を受け取るまとめ
PPAPはセキュリティ対策のひとつとして、多くの企業で利用されてきました。しかし、ウイルスチェックやヒューマンエラーの防止が困難であること、業務効率が低下しやすいといった問題から、政府をはじめ企業で廃止される傾向にあります。
サイバーソリューションズは、低価格かつ高品質で多様な「脱PPAP対策ソリューション」を提供しています。セキュリティサービスや、大容量ファイル転送サービスの資料は、以下で受け取れます。PPAPの危険性について詳しく知りたい場合は、無料でダウンロードができるガイドブックをご覧ください。
Cloud Mail SECURITYSUITEのサービス資料を受け取る
PPAP対策やメールセキュリティ強化サービス
サービスの概要資料を受け取る
