PPAPとは、添付ファイルを暗号化して送付、別メールでパスワードを送る送信方法のことです。
この方法はセキュリティ的に安全とされ長らく多くの企業で用いられてきましたが、近年このPPAPのセキュリティリスクが注目を浴びており、廃止が進んでいます。
この記事では、PPAPの定義、そのセキュリティリスク、そしてPPAPの代替手段について、IT初心者の方にもわかりやすく解説していきます。
PPAPとは?
PPAPとは、Password付暗号化ファイルを送りますPasswordを送りますAn号化Protocol(=手順)の頭文字をとった単語で、その名の通り、添付ファイルを暗号化して送付、別メールでパスワードを送る送信方法のことです。少し前に流行ったピコ太郎とは何の関係もありません。笑
この方法は、ビジネスにおいて、社内外の相手に対して機密情報が含まれるファイルを安全に送信する方法として、これまで一般的に使われてきました。仮に横から第三者に添付ファイルがダウンロードされてしまったとしても、パスワードが分からなければ開くことができないため、セキュリティ的に安全だと考えられていたからです。
PPAPは廃止すべき?PPAPに潜むセキュリティリスク
しかし、近年このPPAPはセキュリティ的にリスクがあるため、廃止すべきだとの議論が高まっています。実際に、内閣府やIIJ、日立、NTTデータといった大手ITベンダーも、このPPAPの廃止を次々に発表しています。
参考:https://xtech.nikkei.com/atcl/nxt/column/18/00001/06211/
ではPPAPにはどんなセキュリティリスクがあるというのでしょうか。
①誤送信対策としてあまり効果がない
一つ目が、誤送信対策としてあまり効果がないことです。
先ほど書いた通り、仮に添付ファイルを間違った宛先に送ってしまっても、それだけではパスワードが分からず暗号化を解除できません。
しかし、PPAPを用いる際、たいていの方はまず添付ファイルを含むメールを送信し、その返信でパスワードを別送するかと思います。その場合、1つ目の送信で宛先間違いがあった場合、たいていの人は気付かずその返信でパスワードも送ってしまうでしょう。そうなると、誤送信してもパスワードは別だから大丈夫、という理論がほぼ成り立たなくなってしまうのです。
②マルウェア感染のリスク
二つ目が、マルウェア感染のリスクがあることです。
マルウェアとは、悪意のあるソフトウェアやコードのことです。
たいていの企業はマルウェアへの対策としてウイルス対策ソフトを導入しています。
しかし、PPAPでファイルを送信した場合、そのファイルがマルウェアに感染していたとしても、ウイルス対策ソフトをすり抜けてしまうのです。
実際に、このPPAPの仕組みを利用した「Emotet(エモテット)」と呼ばれるマルウェアの被害が世界中で多数発生しています。
このEmotetは、PPAPで添付ファイルが暗号化されていると気づけないため、そのままダウンロードしてしまい感染、情報漏えいや社内の他の端末へも感染してしまうなどの恐れがあります。
PPAPの代替手段は?
PPAPの危険性はわかったところで、ではどうやって取引先にファイルを送ればいいのでしょうか。
①クラウドストレージを利用する
一つ目の代替手段が、クラウドストレージを利用することです。
クラウドストレージとは、インターネット上にファイルを保管・共有できるサービスのことです。
受信者のみに公開範囲を制御した上でURLを共有することで、セキュアにファイルを共有することができます。また、クラウドストレージは、そのURL上を作業場としてファイルを共同編集できたり、メールと違って送信できるファイルサイズの制限がないというメリットもあります。
②グループウェアなどのツールを利用する
二つ目が、グループウェアなどのツールを利用することです。例えばMicrosoft Teamsや、slackなどのサービスが一般的です。この代替手段は、送信の手間が少ない、チーム内でまとめて管理できて効率的等のメリットもありますが、共有相手が同じツールを利用していることが前提のため、社外相手だと少しハードルが高いのが特徴です。
おわりに
いかがだったでしょうか。企業のこういった普段の業務のセキュリティ対策というのは後回しにされがちですが、大きなセキュリティリスクを秘めています。気づいたらマルウェアに感染して大問題、となる前に、しっかり対策を取っていきましょう。
コメント