PPAP問題とは?脱PPAPの背景や代替案、セキュリティリスクを解説

昨今、PPAP廃止の動きが盛んになっています。2020年11月にデジタル改革担当相がパスワード付きファイルをメールで送信することを禁止する方針を発表しました。今後も、多くの企業で脱PPAPの動きが広まるでしょう。

しかし、なぜPPAPが問題になっているのか、どのような対応策を取ればよいのか不明点は多いかもしれません。そこで、ここではPPAPが問題視されている理由について解説し、どのようなリスクがあるのか、また代替案についても解説します。安全にファイルを受け渡しするサービスについても取り上げますので、参考にしてください。まだPPAPを利用する企業も多いため、そのリスクと対応策について理解を深めておくことが大切です。

PPAP問題とは?

脱PPAPの背景について

PPAPは下記の頭文字をとった言葉であり、「メールにてパスワードがかかったZIPファイルを送り、別途パスワードが記載されたメールを送る」というファイル送信方法です。

  • パスワードがかかったファイルを送付する(P)
  • パスワードが記載されたメールを送付する(P)
  • 暗号化(A)
  • Protocol(P)

PPAPを利用したファイル授受は、従来から多くの企業で利用されてきました。しかし昨今、その脆弱性が指摘されるようになっています。なぜなら、マルウェア感染などの標的型攻撃が流行したためです。

この標的型攻撃により、個人情報漏えいやランサムウェア(身代金要求型の不正プログラム)への感染などの被害が多数報告されています。そのため、日本政府としてもPPAPを廃止する方針を採用したのです。また、プライバシーポリシーを扱う日本情報経済社会推進協会では、下記のように定義しています。

「個人情報を含むファイルの送信は、メールの誤送信等による個人情報の漏えいを防げないこと等から、従来から推奨しておりません。」

▼参考

https://privacymark.jp/news/system/2020/1118.html

メールを使う以上、宛先の誤送信によるセキュリティリスクも存在します。悪意ある受信者によって情報が漏えいしてしまう可能性もあるため、従来からメールでのファイル授受は推奨されていません。

PPAPを利用することによるセキュリティリスクについて

ZIP形式の暗号化方法はWindowsのみならず、MacやLinuxなど複数のOSに対応しており、我々の馴染み深い方式となっています。しかし、普段多く利用される暗号化ZIPファイルはセキュリティ的に脆弱です。ZIPの暗号化方式には以下の二つの方式が使用されています。

  • AES(Advanced Encryption Standard)方式
  • Standard ZIP 2.0暗号化方式

暗号化強度が強いものがAES方式ですが、幅広いOSで採用されているのがStandard ZIP 2.0暗号化方式です。Standard ZIP 2.0暗号化方式はセキュリティ的に脆弱性が指摘されているため、攻撃の対象になりやすいでしょう。また、攻撃者の持つパスワード解析ツールによってパスワードが簡単に破られてしまうことが多くなったことも、脆弱性が指摘されるようになったきっかけです。

さらに、パスワード付きのZIPファイルを悪用したマルウェアも存在します。普通であれば、マルウェア送信のために暗号化されたZIPファイルが使われるはずがないと感じるかもしれません。しかし、そこを逆手にとったマルウェアの被害も報告されています。その特徴は以下の通りです。

  • 差出人、本文を偽装し関係者のように見せかけるため不審なメールと気づきにくい
  • パスワード付ZIPファイルを添付し、「Re:」を頭につけた返信メールとして送られてくる
  • パスワード付ZIPファイルのためセキュリティソフトでの検知ができない場合がある
  • ほとんどの場合本文内にパスワードが記載されている

そして、このマルウェアに感染することで、次のような被害が起きています。

  • メールやブラウザなどのIDとパスワード情報が漏えいする
  • 別のマルウェアに感染する
  • 過去にやり取りしたメールに返信する形で別の攻撃メールが送信される

このように、サイバー攻撃を仕掛ける側も年々進化しており、既存のセキュリティソフトでもすべてに対応できていないのが現状です。セキュリティを守る仕組みも必要です。

PPAPの代替案

問題点のあるPPAPですが、代替案としては以下のような方法が挙げられます。

  1. 電話や口頭でパスワードを伝える
  2. 送信者と受信者でパスワードを事前に決めておく
  3. チャットツールを利用する
  4. クラウドストレージサービスを利用する

電話や口頭でパスワードを伝える

パスワード付きZIPファイルをメールで送付せざるを得ない場合に、パスワードを電話や口頭で伝える方法です。メールでパスワードを送付しない分だけセキュリティに関するリスクは軽減されますが、根本的な解決策ではありません。PPAPに対して本格的に対処する前の、暫定対処として利用するにとどめるべきと言えます。

送信者と受信者でパスワードを事前に決めておく

パスワード付きZIPファイルを利用しなければならない状況でパスワードを漏えいさせないために、送信者と受信者でパスワードを事前に決めておく方法もあります。メールでパスワードを送付しない分、セキュリティに関するリスクは軽減される方法です。

しかし、ファイルを送る都度パスワードを送信者と受信者で認識を合わせておく手間が発生するなど、煩雑になるでしょう。電話や口頭でパスワードを伝える方法と同じように、こちらも暫定対処として利用するにとどめるべきと言えます。

チャットツールを利用する

メールを利用せずに、ChatWorkやMicrosoft Teamsなどのチャットツールを利用してファイルを受け渡しする方法です。例えば、ChatWorkでは全ての通信をSSL/TLSを用いることで暗号化しているため、攻撃者がデータの中身を見ることができません。また、送付されたファイルはAES256という最高レベルの暗号化規格を用いて暗号化されています。データの保管も法令に基づいて実施されていることもあり、セキュリティ対策は万全と言えるでしょう。

クラウドストレージサービスを利用する

ファイルの授受にクラウドストレージを利用する方法です。

その方法は、クラウドストレージ内の対象のフォルダに共有したいファイルをアップロードし、そこにアクセスするためのリンクを相手に送信します。

これによってファイルの所有側と、リンクを共有された側の両者から安全にファイルの共有をすることができます。

クラウドストレージの場合はセキュリティが担保された状態でファイルが共有でき、パスワードを設定する必要もありません。さらにクラウド上にファイルが存在するため、自分のパソコンやスマートフォンにファイルを置いておく必要がなく、ファイルが漏えいするリスクも軽減される点もメリットです。

また、端末が壊れた場合には、データを端末上に保存しているとデータが取り出せないリスクがあります。クラウド上にデータを保存していればそのリスクも軽減されるでしょう。セキュリティを強化するのみならず、データの可用性を担保するという観点でも、クラウドストレージサービスの利用がおすすめできます。

現時点でチャットツールやクラウドストレージサービスは、セキュリティ的に安心とされています。しかし、将来的にそれらに対する脆弱性が指摘される可能性もあるでしょう。そのため、セキュリティに関するトレンドは継続的にアンテナを張っておくことをおすすめします。

おすすめのセキュリティサービスについて

ファイルを安全に共有する方法は複数ありますが、TD シネックスではさまざまなソリューションを提供しています。脱PPAPの今後の対応策として、ぜひご検討ください。

HENNGE Oneについて

HENNGE Oneは、現在使用しているクラウドサービスに対して、セキュアなアクセスを提供するSaaS認証基盤(IDaaS)です。下記のようなクラウドサービスを、より安全にセキュリティを保った状態で利用できることが特徴となります。

  • Microsoft 365
  • Google Workspace
  • Box
  • LINE WORKS

HENNGE Oneは、IdP(Identify Provider)とメールに対するセキュリティをオールインワンで提供します。

IdP Edition の機能

IdP EditionはMicrosoft 365やGoogle Workspace、Boxを含む複数のクラウドサービスとのSSOなど、以下のようにさまざまなセキュリティを実現します。

  • SSO(シングルサインオン):パスワードのメモ書きや使いまわしを防ぐことによる情報漏えいのリスク軽減
  • アクセスログの管理、制御:不審なログの早期発見や検知
  • IDやパスワードの一元管理:一元管理による各個人からのパスワード漏えいのリスク減
  • Active Directory連携:操作者の特定が容易にできる
  • デバイス証明書:通信時に証明書を利用することによるセキュリティ強化
  • パスワードレス認証:生体認証やPINなどの利用でパスワード漏えいリスクを無くす
  • セキュアブラウザ:不正アクセスや情報漏えいの防止
  • マルチアプリ制御:複数アプリのセキュリティを強化

ユーザーが多いサービスほど、サイバー攻撃の対象となる傾向にあります。そのため、多様なセキュリティ対策を講じておくことが好ましいでしょう。

E-Mail Security Editionの機能

E-Mail Security Editionは、Exchange Online・Gmailのようなクラウドメールと連携が可能です。アウトバウンド(送信)・インバウンド(受信)双方に対応した統合メールセキュリティを実現でき、誤送信・脱PPAP・標的型攻撃対策ができます。

  • メール監査
  • メールアーカイブ
  • 添付ファイル暗号化
  • 添付ファイルURL自動変換
  • オンラインストレージ
  • 外部宛てメールアドレス強制変換
  • 標的型攻撃対策 for Microsoft 365

昨今話題になっているマルウェアへの感染経路で多いのは、メールの受信時です。攻撃者からのEメールを受信し、添付されたファイルを開くことでマルウェアに感染する被害が多発しています。メールに対するセキュリティを強化することで自社の資産を守ることに繋がり、業務を安心して継続できることとなるでしょう。

また、導入前後のサポート体制も充実しています。導入前にテクニカルコンサルタントがお客様の環境に最適な導入支援を行い、導入後は定着に向けてサポートメンバーがしっかりと運用・サポートを支援します。なお、HENNGE Oneに関するお見積りやお問い合わせは、以下のフォームよりお願いいたします。

▼問い合わせフォーム

https://www.synnex.co.jp/vendor/vendors/hennge/

コワークドライブについて

コワークドライブはセキュリティ対策をはじめとする次のような特徴を持っています。

  • 国内事業者による強固なセキュリティ

保管される全てのデータが自動でウィルスチェック・暗号化されるため、セキュリティ対策は万全です。

  • クラウドであることを忘れる操作性

テレワーク中の社員や、取引先の企業とも円滑にファイル共有を実現可能です。ファイル誤送信などによる情報漏えいリスクも大幅も軽減します。

  • 簡単に社内データへのアクセスファイル共有が可能

オンプレミスと同じフォルダ構成を利用でき、メンバー間でのファイル共有が可能となります。

  • 柔軟な権限管理が可能

フォルダへの任意権限付与が可能になります。

  • Microsoft Teamsとの連携

Microsoft Teamsとの連携も可能で、業務を効率化することができます。

コワークドライブはクラウド上、オンラインストレージサービスで情報を安全に授受でき、パソコンと同様の操作性を持っています。次のような悩みを持つ方に向いているでしょう。

  • 新型コロナウイルスの影響により、オンラインでの業務遂行に加え、より柔軟なデータの保管・活用に向けた環境整備が必要となっている
  • 近年増加するサイバー攻撃や自然災害によるデータ喪失リスク等に関する対処をしたい

コワークドライブ利用者の声

「ファイルサーバーと同じ操作感でオンラインストレージを利用できるのがよい」

「各店舗とはメールでのやりとりが多かったが、標的型攻撃を受けるリスクがあった。コワークドライブを利用してからメールでのやりとりがなくなったのがよかった」

「サーバを長年使っていたが導入費用や構築に不安を感じていた。コワークドライブは操作が簡単で、インターネットがあれば利用できるのが便利」

オンラインストレージサービスで重視すべきポイントは、「安全性」と「操作性」を兼ね備えているかどうかです。いくらセキュリティが万全であったとしても、操作が難しければ利用者に敬遠されるでしょう。逆に操作性が良くても、セキュリティが乏しければ意味がありません。だからこそ、その双方を兼ね備えたコワークドライブが利用者に支持されています。コワークドライブに関するお見積りやお問い合わせは、以下のフォームよりお願いいたします。

▼問い合わせフォーム

https://www.synnex.co.jp/solution/otegaru/co-work/

まとめ

世の中は脱PPAPの流れに進んでいます。PPAPにはセキュリティリスクが多く、サイバー攻撃の対象になりやすいでしょう。そこから情報漏えいなどに発展し、社会問題になることも考えられるため注意が必要です。

また、攻撃を受けないまでもPPAPを継続したままだと、セキュリティの意識が低い企業とも判断されかねません。そのため、早急に対処することをおすすめします。ここでご紹介したサービスについて少しでも話を聞いてみたい、導入を検討しているので相談したいなどございましたら、下記フォームよりお問い合わせください。

▼HENNGE One問い合わせフォーム

https://www.synnex.co.jp/vendor/vendors/hennge/

▼コワークドライブ問い合わせフォーム

https://www.synnex.co.jp/solution/otegaru/co-work/

▼参考

https://business.ntt-east.co.jp/content/coworkstorage/column-04.html

https://businessonline.trendmicro.co.jp/sb/smb/problem_036.asp

著者プロフィール

中村陽平

8年間インフラエンジニアとして、システム開発から運用まで幅広く経験し、フリーランスとして独立する。IT技術に関する記事や転職、フリーランスに関する記事も多数執筆中。現在は官公庁系システムのネットワークの設計~構築・運用まで携わっている。得意分野はネットワークの設計、構築(Cisco機器)。

製品・サービスについてのお問合せ

情報収集中の方へ

導入事例やソリューションをまとめた資料をご提供しております。

資料ダウンロード
導入をご検討中の方へ

折り返し詳細のご案内を差し上げます。お問い合わせお待ちしております。

お問い合わせ