こんにちは。株式会社クオリティア マーケティング部です。
PPAP問題や脱PPAPがメールセキュリティの中で大きな課題になったのは2020年11月に政府でのPPAP廃止宣言が出されたことがきっかけです。それから数年経ちましたが、未だにPPAPでファイルを送付されることもあり、まだまだPPAP問題を正しく知られていないと感じます。
この記事では、PPAP問題を改めて整理し、PPAPという社会問題とも言えるものを 解決するための「卒PPAP」という考えに方について解説します。
「PPAP」とは「パスワード付きZipファイルを送ります」「パスワードを別のメールで送ります」「暗号化」「プロトコル」の頭文字をとったメールでのファイル送付方法を表す言葉です。
2000年代初頭に考案されて日本ではビジネスマナーとして広く使われていました。
PPAPという名称は2016年に世界中で流行した同名曲が由来となっていると言われています。
添付ファイルを盗聴から守るための「盗聴対策」やメール誤送信が発生した際にファイルの漏えいを守る「誤送信対策」として利用されています。
そんなPPAPですが、今では多くのセキュリティ上の問題点を抱えていることが知られています。
暗号化したファイルとパスワードを別メールで送付しても両方のメールが盗聴されていれば、メールを分けて送付する意味はありません。またパスワード解析ツールの進歩によってZip暗号化ファイルは一日足らずで復号されてしまいます。そのためPPAPでは盗聴対策にはならないとされています。
Zip暗号化ファイルをはじめとする暗号化ファイルにはウイルススキャンをスルーするという特徴があります。その特性を悪用しマルウェア感染を目的としたメール攻撃に利用される可能性があります。実際に2022年に流行したEmotet(エモテット)はZip暗号化ファイルを利用して感染を拡大させました。
ITの進歩や働き方が多様化しスマートフォンやタブレットでメールを確認する人も増えました。PCであればZipファイルを簡単に展開することができますが、スマートフォンではアプリをインストールする必要があるなど不便がありました。
これらの理由からPPAPの送付はリスクがあると言われており、最近では受信する際にPPAPでのファイル受け取りを拒否する企業も増えています。
このように問題点が多くあるPPAPはなぜビジネスマナーとして広く使われることになったのでしょうか。それは以下の3つの要因が考えられます。
2000年当時のメールボックスは今ほど容量が大きくありませんでした。そのためメールをため込むと容量オーバーになり受信できなくなるといったことが度々起こっていました。そのため大きな容量をもつメールの添付ファイルを少しでも容量を下げるようにZip圧縮することが良いとされていました。
当時の通信は平文通信が主流でした。メールの通信プロトコルであるSMTP(Simple Mail Transfer Protocol)も例にもれず平文通信であったため、メール通信は盗聴の危険があるとされていました。
情報化社会として成長が進んでいた2000年代当時において、セキュリティ意識を持つことが重要とされていました。そのため企業は対外的にセキュリティ意識があることをアピールする必要がありました。
これの要因からPPAPが考案されて、やがてビジネスマナーとして広がっていくことになりました。
今ではPPAPの問題点が認知されて、ファイル送付の方法を別の方法に切り替える脱PPAPが進んでいます。しかしPPAPを行っていたことは間違いだったのでしょうか。
前述の通りPPAPは3つの要因から考案されました。PPAPはこれらの課題に対しての対策としては正しく機能していました。今では多くの問題があるとされていますが、それはPPAPという手法が成長した今の時代に合わなくなったというだけであり、けして過ちだったということではありません。
人が成長し次のステージに進むことを、時に「卒業」という言葉で表します。PPAP問題の真の解決を考える時に必要なことはPPAPから「脱却」することではなくPPAPを「卒業」することだと思います。脱却とは不都合な状況から抜け出すことであり、脱PPAPというのは「PPAPは間違いであった」という立場の意見で、いわばマイナスを0に戻すための行為です。
対して「卒PPAP」はPPAPを認めた上で、さらに先に進むためのプロセスを指す言葉です。
PPAP問題が広く認知されてから多くの脱PPAPソリューションが開発され、利用されています。それらは大きく分けて「クラウドストレージ」と「添付ファイル分離」に区分されます。
インターネット上のストレージサービスのことで、一部フォルダを外部へ公開する設定にしてURLを共有することでファイルのやり取りをする方法です。メールでは送付できない大きな容量をやり取りできたり、共通のファイルにアクセスしたりとメールだけでは実現できない利便性を持ったソリューションです。
メールの添付ファイルをサーバー上に隔離し、そのURLを自動的にメールに記載してWeb経由でファイルをダウンロードさせる機能を持ったソリューションです。メールシステムの管理者側で設定するだけで利用することもでき、送信時にユーザーの負担にならないことが特長です。
2つの脱PPAPソリューション共に各サービスによって細かい差異はありますが、概ね行っている内容は同じです。脱PPAPソリューションの方法を簡単にまとめると以下のようになります。
「パスワード認証付きURLを送ります」
「パスワードを送ります」
「暗号化」
「プロトコル」
結局のところ同じPPAPです。脱PPAPソリューションはPPAPの代替手段として、PPAPが時代の流れで出来なくなったことをもう一度出来るようにしようとしているだけに過ぎません。それでは将来同じような課題がでてくることは明白で、PPAPと同様にすでにURLを受信拒否する企業も現れています。
卒PPAPを行うためにPPAPが考案された理由に立ち返ると、前述の通り3つの要因がありました。
1) メールボックスの容量が少なかったから
2) SMTPが平文通信だったから
3) 企業姿勢を対外的にアピールするため
これらの要因は1) 2)については時代の進歩とともに既に解決されていることがわかります。
メールボックスの容量は当時から飛躍的に増えており今ではほとんど気になることはありません。SMTPについても通信の暗号化であるTLS通信の対応が進んでおり、現在では90%以上のメールが暗号化されていることがわかります。これはGoogleが公開しているGmailの送受信の暗号化率からも客観的にわかります。
(Google透明性レポートhttps://transparencyreport.google.com/safer-email/overview?hl=ja)
残るは「3)企業姿勢を対外的にアピールするため」だけになっています。つまり今PPAPを行う理由は対外的なアピールのためだけということになります。これはPPAPの代替手段にしかならない脱PPAPソリューションにも言えることです。
であれば、ファイル送付手段をあれこれ考える理由は実のところないと言えます。
このことからPPAP問題を解決する卒PPAPの手段として、TLS通信でファイルをそのまま添付するという仮説が出てきます。
TLS通信でファイルをそのまま添付するという仮説について、前述したPPAPの問題点から考えていきます。
現在のメール通信はTLS通信によって暗号化されています。そのためメールにそのまま添付したとしても盗聴の心配はありません。パスワードも発行しないため余計な手間もかかりません。
暗号化ファイルを使用せずそのまま添付することでウイルススキャンが可能になるため、受信者は安心してファイルを受け取ることができるようになります。URLも経由しないためフィッシング詐欺などの心配もありません。
専用のアプリやツールを使用せずにファイルをすぐに確認することができるため、デバイスを問わず利便性を向上させることができます。
このようにTLS通信でファイルをそのまま添付することでPPAP問題は解決することができると言えます。当時PPAPが手間をかけて安全を実現していたことに対して、手間なく安全を実現できるようになったTLS通信による添付ファイルのそのまま送付は、時代にあわせてさらに良いメールコミュニケーションを実現できるため、卒PPAPだということができます。
TLS通信によるファイルのそのまま添付を卒PPAPとした際に、個々の企業だけでは解決できない問題が生じます。それはTLS通信が送受信双方のサーバーがTLS通信に対応している必要があるという点です。最初にPPAPが社会問題とも言えるとしたのは、自社の送付方法を変えれば解決するという問題ではないからです。
卒PPAPを実現するためには自社と送信先のサーバー全てがTLS通信に対応している必要があります。これを実現するのは一つの会社だけでは不可能です。
ただし疑似的にそれを可能にするソリューションが存在します。
それが今回紹介する唯一無二の卒PPAPソリューションです。
クラウド型メール誤送信防止サービスActive! gate SSのTLS確認機能は、送信先のサーバーのTLS通信への対応状況に応じて添付ファイルの送付方法を切り替える機能です。
この機能により、TLS通信対応の宛先にはファイルをそのまま添付して、非対応の場合は脱PPAPで送付することを自動的に行えます。案内文も挿入することができるため、セキュリティ対策の対外的なアピールを残すことも可能となります。
また多彩な誤送信防止機能も備えているため、メールが配送される前に対処することができます。
PPAPは当時における必要な手段であり、それ自体には問題はありませんでした。しかし時代の変遷で今は危険だと言われているので別の手段を考える必要があります。別の手段を検討するにあたり、脱PPAPは一時的に問題を先延ばしにしている対処的な解決策であるのに対して、卒PPAPは根本的な解決策です。
この記事を読んで、すでにTLS通信への対応が済んでいるにも関わらず脱PPAPを選択して余計な手間をかけてしまっている企業が減り、全てのメールサーバーがTLS通信に対応する卒PPAPが実現し安心安全なメールコミュニケーションが行えるインターネット環境に変わることを願います。
この記事が気に入ったら
いいね!しよう
メールソリューションに関する
ご質問・資料請求などございましたら
お気軽にお問い合わせください。
お電話からのお問い合わせ
03-5623-2530フォームからのお問い合わせ
資料請求ダウンロードお見積り依頼・ご質問・ご相談はこちらから新規のお客様・パートナー様既存のお客様・パートナー様