メールで添付ファイルを送る際に、パスワード付ZIPファイルを用意して、パスワードは別のメールで送って、という方法が長らくスタンダードとして使われてきました。この「PPAP」(ピーピーエーピー)と言いう送り方にはセキュリティ上の危険性があるので、別の添付ファイルの送り方を模索されている、中小企業のシステム担当の方もいらっしゃるのではないでしょうか。
ここではそんなシステム担当の方に向けて、PPAPの代替案とはどのようなものかから、PPAPの問題点、代替案を使うことのメリットなどをご案内いたします。ぜひこの記事を読んで具体的な代替案の選定や導入を進めてみてください。
1.PPAPの代替案とは
ここではPPAPとはどのようなものかや廃止に向けた動きを振り返った上で、まず簡単にPPAPの代替案についてご案内いたします。
1-1.そもそもPPAPとは
PPAP(ピーピーエーピー)とは、添付ファイルをメールで送る際のセキュリティ対策のことで、添付ファイルをパスワード付のZIPファイルにして送ることを表しています。
PPAPという名称は、このZIPファイルを送る際の手順の頭文字をとって命名されています。頭文字をとることになった手順は、【P】パスワード付きZIPファイルを送ります 【P】パスワードを別のメールで送ります 【A】暗号化します 【P】プロトコル です。
メールで添付ファイルを送る際にセキュリティを高めて送ることを意図して2010年代より多用されるようになった方法です。しかしパスワードもメールで送るこの送信方法にはセキュリティ上の問題も多く、日本情報経済社会推進協会に所属していた大泰司章がこの送信方法について問題提起するために、当時流行ったピコ太郎の「PPAP」をヒントに、パスワード付きZIPファイルでメール送信する送り方を「PPAP」と命名しています。
1-2.PPAPの廃止に向けた動き
このパスワード付きZIPファイルを使ったメール送信(PPAP)は、セキュリティ上の懸念があったことから、2020年11月に当時の平井デジタル担当大臣が一部省庁でPPAPを廃止して、安全に配慮したWEB上からダウンロード方式に変更する方針を発表しました。その後、別の省庁や民間企業でもPPAP廃止に追随する動きが出てきています。
1-3.PPAPの代替案とは
PPAPの代替案とは、メールでパスワード付のZIPファイルとパスワードを送る方法をやめて、セキュリティ上のリスクを下げられる手段でファイルを送ることを意味します。
具体的な方法としては、チャットツールで添付ファイルを送る、ファイル転送サービスを使って送る、クラウドストレージを利用するの3種類があります。詳しくはこの記事内で解説していきます。
2.PPAPの問題点
ここではPPAPの代表的な問題点をご案内いたします。
2-1.パスワード付きZIPファイルはウィルスチェックを行うことができない
パスワード付きZIPファイルの中のファイルがウィルスに感染していたり、マルウェアが含まれていても、ウィルスチェックを行うことはできません。そのため受信者がZIPファイルを開けてしまうと、ウィルス感染のリスクを高める結果になってしまいます。
昨今、企業や研究施設の特定の個人を狙ってマルウェアの付いたメールを送信する標的型攻撃のメールも増えています。悪意のある人間が関係者を装ってマルウェア付きのメールを送ってきても、パスワード付きZIPファイルを利用されるとウィルスソフトはチェックできないどころか、普通の業務メールのように装われており、PPAPの利用はマルウェアに感染するリスクを高めています。
実際にエモテット(Emotet)というマルウェアが2020年頃に流行しましたが、パスワード付きZIPファイルをメールで送る方法で感染が広がっています。まさにPPAPの弱みが突かれる形での攻撃が実際に行われています。
2-2.パスワードをZIPファイルとは別のメールで送っても情報漏洩することがある
PPAPはメールを2回に分け、パスワード付きZIPファイルとパスワードをそれぞれ別のメールで送ります。この方法では、両方のメールを盗聴された場合は結局パスワード付きZIPファイルは、2通めのパスワードで解読されてしまいます。
2-3.宛先を間違えてメール送信すると情報漏洩することがある
メール送信は多くの場合、人間が行います。そのため宛先を間違えて送ることを防ぐ方法はなかなか無いのが実情です。PPAPで添付ファイルとパスワードを送信する際もメールの宛先を間違えてしまうことは起こりえます。そのため、PPAPという手段を取っても送信者側の宛先間違えによって情報流出を招くことがあります。
2-4.ZIPファイルのパスワードが解析され、内容が漏洩する可能性がある
パスワード付きZIPファイル自体は昔からある仕組みで、解読ツールを使うとパスワードを割り出すことも時間はかかるものの可能とされています。何回間違えたらロックをかけるといったこともZIPファイルではできないため、パスワードの解読リスクということも存在しています。
2-5.パスワードをかけメールも2通送るため業務効率が送信者も受信者も下がる
PPAPで添付ファイルを送る場合は、パスワードを決めたり、ZIPファイルを作成したり、メールを2通送ったりと送信にも余計な手間がかかり業務効率を悪くしてしまいます。
メールを受け取る側でも、受信トレイ内の添付ファイルを解凍して、保管する場合はどこか別の場所で保管するなど手間がかかってしまいます。
2-6.一部のスマートフォンやタブレットでは解凍できない場合がある
パスワード付きのZIPファイルを受信した場合ですが、一部のスマートフォンやタブレットでは解凍できない場合もあります。環境によっては解凍アプリを入れると解凍できる場合もあるようです。その場合でもアプリの導入で端末管理の手間が余計にかかってしまいます。
3.PPAPの代替案
ここではPPAPの代替案として、PPAP以外の方法でファイルを相手へ渡す方法をご紹介します。
3-1.チャットツールで添付ファイルを送る
ファイルをやり取りする関係者間がチャットで繋がっている場合は、安全かつ簡単にファイルのやり取りを行うことができます。(ビジネスチャットを使う前提でお考えください)
チャットツールであれば必要なメンバーだけでチャットルームを作成することができますので、情報共有が必要なメンバーに限定してファイル共有を行うことができます。
チャットワークやMicrosoft Teams、Slackなどのビジネスチャットがありますが、自社のポリシーによっては社外メンバーが含まれるチャットでは添付ファイルが送れない場合もあります。
3-2.ファイル転送サービスを使って送る
ファイル転送サービスを利用すると、ファイルのダウンロードURLをメールするなどの方法で、ファイルをやり取りすることができます。必要に応じてダウンロードにパスワードも設定することができます。
一見するとPPAPとどこが違うのと思うかもしれませんが、ファイルの管理機能が搭載されており、例えば間違って別のファイルを共有してしまった場合は送信者がサーバーにあるファイルを削除して、それ以降のダウンロードを不可能にする、と言ったことも可能です。また、ダウンロードできる期日を設定したり、パスワードも受信者ごとに変えられるので、ダウンロードURLとパスワードが流行したとしても、その時にはダウンロード可能期間が終わっていたといった防ぎ方も可能です。またファイルをダウンロードする際には自動的に暗号化されて取得することが可能です。
簡単に言ってしまうとメール送信後にファイルをダウンロードできる期間を制限できるサービスとも言えます。
3-3.クラウドストレージを利用する
クラウドストレージは、関係者で利用できる共有ドライブのようなものです。最初にID・パスワードを利用するすべての人に発行して、各自がブラウザ上のクラウドストレージにログインすると、ファイルをアップロードしたりダウンロードすることができます。もちろんアップロードもダウンロードも暗号化されているので、安全に利用することができます。
4.PPAPを使わず代替案を使うことのメリット
ここではPPAP代替案を利用することのメリットをご案内いたします。
4-1.マルウェア感染リスクを下げることができる
チャット、ファイル転送サービス、クラウドストレージのどのファイル共有方法を使っても、パスワード付きZIPファイルを使わずに済むため、送信者側も受信者側もウィルスチェックを有効に行うことができます。受信者側にとっても一定レベルの安心を得た状態でファイルを開くことができます。
受信相手がお客様であった場合は、安全な方法で
4-2.パスワードの盗聴リスクを下げることができる
チャットやファイル転送サービス、クラウドストレージでは主にWEBブラウザや専用アプリを使ってセキュリティに保護された状態でパスワードの入力や認証を行います。PPAPでパスワードの伝達に使うのは基本的にメール本文です。メールの本文は暗号化されていないため、送信経路上で漏洩するリスクをがあったり、メールソフトの受信トレイにも残ってしまうため、メールソフトを見たら誰でもファイルの中身も見れてしまいます。
4-3.ダウンロードできる期間やメンバーを設定できるので情報漏洩リスクを下げることができる
例えばファイル転送サービスであれば、ダウンロードURLをクリックしても送信から3日経過するとダウンロードをできなくすることも可能です。このためダウンロードURLがもしも流出した場合でも、ダウンロード期間を短く設定しておくことで情報漏洩リスクをを下げることができます。
4-4.取引相手からの信頼が向上する
PPAPで添付ファイルを送る場合は、ご説明した通りメールを受け取る側にマルウェアの感染リスクが高まってしまいます。そのためファイル転送サービスなどのPPAP代替案を使ってファイルを送信すると取引先も比較的安心してファイルを受信することができます。また、旧来の送り方だと誤送信のリスクも抱える結果となるため、この点でも万一の情報流出リスクを減らしていくことができます。
4-5.送信者と受信者双方の手間の削減
メールでファイルを送受信するだけのことでも、送り手には毎回パスワード付きZIPファイルを作ったりメールを2通送る手間がかかります。受け手も、受信トレイに届いたメールの添付ファイルをそのままダブルクリックで開くことはできず、どこかにZIPファイルを保存してパスワードを入力する必要があります。毎回、送信者も受信者も手間がかかってしまう点を代替案の利用により無くしていくことができます。
5.代表的なPPAPの代替案
ここでは代表的なPPAPの代替案をいくつかご案内いたします。
| 区分 | サービス名 | 提供元 |
| チャットツール | チャットワーク | 株式会社kubell |
| Microsoft Teams | 日本マイクロソフト株式会社 | |
| Slack | 株式会社セールスフォース・ドットコム | |
| ファイル転送サービス | Bizストレージ ファイルシェア | NTTドコモビジネス株式会社 |
| SECURE DELIVER | 富士フイルムイメージングシステムズ株式会社 | |
| クリプト便 | NRIセキュアテクノロジーズ株式会社 | |
| OKURN | 日本ワムネット株式会社 | |
| クラウドストレージ | Box | 株式会社Box Japan |
| Smooth File | 株式会社CYLLENGE | |
| fileforce | ファイルフォース株式会社 | |
| Fleekdrive | 株式会社Fleekdrive |
コメント