メールの送信時に、ファイルを安全に送付する方法として定着していた「PPAP」ですが、近年はその手法で発生するリスクが問題視されています。企業はPPAPが抱える問題を把握し、代替サービスへの乗り換えを検討する必要があるでしょう。本記事ではPPAPが抱える問題やリスク、対応方法や代替サービスについて解説します。
PPAPは、以下の頭文字を表した言葉です。
・Password:Password付きのZIP暗号化ファイルを送ります
・Password:Passwordを送ります
・Angou:Aん号化(暗号化)
・Protocol:Protocol(プロトコル)
以下では、PPAPの意味や方法についてあらためて解説します。
PPAPとは、パスワードをつけたZipファイルをメールで送る方法を指します。パスワードをつけることでセキュリティを高め、他者にファイルを盗みみられるリスクを、低減させる効果があると考えられました。パスワードは別途メールで送信し、備えることも、PPAPの基本です。
メールでのやりとりが主流時代から、PPAPは多くの企業で利用されていました。メールというシステムに対するセキュリティ対策の一環として、取り入れる企業は珍しくありませんでした。現在も長く取引をしている企業とは、PPAPによるセキュリティを実施しているケースがあります。
PPAPは多くの企業で定着し、実際の業務で幅広く利用されました。その背景にはさまざまな理由があり、PPAPの普及に関係していると考えられます。以下では、PPAPが多くの企業に定着した理由を解説します。
過去に総務省が策定した、「地方公共団体における情報セキュリティポリシーに関するガイドライン」の内容を誤解したことが、PPAPが普及した理由の1つです。このガイドラインには、「機密性2以上の情報を送るときは暗号化しなければならない」と記載されていました。
その際にはルールとして、「ファイルの暗号化」「メール以外の方法でパスワードを伝えること」も、規定として設けられていました。しかし、多くの企業が「メール以外でパスワードを伝える」という点を理解せず、パスワードつきのメールでファイルを送信する方法が浸透してしまいました。
その結果PPAPは簡単にできるセキュリティ対策として、多くの企業に定着します。
2005年に個人情報保護法が施行された結果、企業はセキュリティ対策を強化する必要に迫られます。セキュリティ対策を実施していることを客観的に証明する手段の1つとして、「外部審査を受けてプライバシーマークを取得する」という方法があります。その際にPPAPを実施してセキュリティ対策をする企業が増え、さらに間違った方法が浸透していった経緯があります。
メールでZipファイルを添付して暗号化するというセキュリティ対策は、簡単に実施できます。そのため労力とコストをかけずに、自社のセキュリティを強化する方法として、PPAPが普及した背景があります。セキュリティの重要性が広まり始めたばかりの時代であるため、「どの程度高いセキュリティなのか」は、そこまで重要視されないことも多かったと予想されます。
いかにスムーズに導入できるかが重視された背景も、PPAPの普及に影響したと考えられるでしょう。
PPAP問題とは、「PPAP」が抱えるリスクに関する問題を指します。PPAPは十分なセキュリティ対策にならず、多くのリスク・デメリットを内包しています。その点が浮き彫りになり、昨今はPPAPを廃止する企業が増えているのが現状です。国も2020年11月にPPAPを廃止しているため、その動きにあわせて廃止を決定した企業も多いです。
今後もPPAP問題が認知され、廃止の方向に向かう企業も増えると予想されます。
PPAP問題によって懸念されるリスクには、さまざまな種類があります。具体的にどのようなリスクがあり、どんな対処をすべきなのか知ることが、企業の責任になるでしょう。以下では、PPAP問題におけるリスクについて解説します。
「メール盗聴」とは、メールの内容が盗みみられることを意味します。PPAPでは暗号化したファイルを添付したメールと、パスワードを記載したメールを同じ通信経路で送信します。そのためメール送受信に使われる経路のセキュリティが突破されると、両方のメールを同時に盗聴される可能性が高まります。
パスワードを記載したメールが盗聴されれば、PPAPによるセキュリティ効果は大きく減少します。
マルウェア感染のきっかけになる点も、PPAP問題の1つです。マルウェア感染しているファイルを気づかずに暗号化して添付すると、相手にウイルスを感染させてしまう危険が懸念され、被害の拡大を引き起こす可能性があるでしょう。セキュリティソフトによっては、パスワードがかかっているファイルはスキャンされないケースもあります。
感染していてもセキュリティソフトをすり抜けてしまう可能性があるため、大きなトラブルの発展につながるリスクが考えられます。
PPAPではパスワードの強度が低いと、情報漏えいのリスクにつながるリスクが高まります。PPAPでは簡易性を重視して、比較的分かりやすいパスワードを使い回す傾向があります。そのためメールの送受信経路が盗聴されると、簡単にパスワードを解読される可能性が高いです。
専用のシステムで複数のパスワードを総当たりでチェックされれば、簡単に暗号化が解読されてしまいます。顧客情報や機密情報が記載されたファイルが解読されれば、そのまま情報漏えいにつながるケースが想定されます。
PPAP問題を解決するために、企業では代替サービスとして、「添付ファイル分離」や「クラウドストレージ」などを利用する企業が増えてます。しかし、これらはPPAPと同様にパスワードをメールで送信するため、PPAP問題を根本的には解決できません。
そのほか、TLS通信を使って、メールの通信経路を暗号化する方法もあります。このように、PPAPに変わる代替案には多くの種類があります。自社の環境にあわせて必要なサービスを導入し、新たなセキュリティ環境を構築することがポイントです。
クラウド型メール誤送信防止サービス「Active! gate SS」のTLS確認機能なら、PPAPを根本的に解決することができます。
そのうえでPPAPの利用時に必要だった手間を削減できるので、業務効率化や担当者の負担軽減につながります。この機会にクオリティアの「クラウド型サービス」で、PPAPに代わるセキュリティ環境の構築を目指してみてはいかがでしょうか。
PPAPは、メールのファイル送信におけるセキュリティ対策として定着していましたが、昨今は多くのリスクを抱えることが分かっています。PPAP問題を把握したうえで、新しい代替サービスに早期移行することが求められるでしょう。この機会にPPAP問題について確認し、代替サービス選びを始めてみると良いでしょう。
資料請求はこちらお問い合わせはこちら
この記事が気に入ったら
いいね!しよう
メールソリューションに関する
ご質問・資料請求などございましたら
お気軽にお問い合わせください。
お電話からのお問い合わせ
03-5623-2530フォームからのお問い合わせ
資料請求ダウンロードお見積り依頼・ご質問・ご相談はこちらから新規のお客様・パートナー様既存のお客様・パートナー様
