PPAPの代替案とは?従来の代替案のリスクと、これからの代替案も解説

この記事は約5分で読めます。

PPAPは長年日本で運用されてきたセキュリティ対策です。

当初はその手軽さと、セキュリティを考慮した安全性の高い手法だと考えられていましたが、内閣府が廃止を発表したり、大手ベンダーが廃止を発表するなど、その問題点が指摘されています。

今回はPPAPの廃止後の代替案について解説します。

また、PPAPの代替案をお探しの方には、Webダウンロードという機能で情報漏洩を防止するクラウド型メールセキュリティサービス「メールZipper」がおすすめです。誤送信防止や上長確認、自動Bcc機能などもついて、一社様あたり月々2,000円からご利用いただけます。

まずは60日間の無料トライアルでお気軽に使用感をお試しください。

PPAPとは

そもそもPPAPとは以下の頭文字の略語です。

P:Passwordつきzip暗号化ファイル送付
P:Password送付
A:暗号化(暗号化)
P:Protocol

メールでのファイルのやりとりは別途用意するツールが無く、即座に実施できるという点で手軽です。

また、パスワード付きzipファイルをメールで誤送信しても、パスワードの送信先を後で送ることで送信先のダブルチェックが働き、情報流出を防ぐことができます。

これらの経緯から、PPAPは普及したわけですが、PPAPにも様々なリスクがあります。

PPAPに潜むリスク

パスワードのメールも誤送信してしまう

1つは、パスワードのメールを誤送信してしまう可能性があるということです。

パスワードのためにメールを2回送付するのは手間で、宛先チェックが形骸化してしまう恐れがあります。

「メールを送る先を間違えた!」

ということ自体は珍しくありません。

ですが、結局宛先を大して確認せずに2通とも送付してしまうことが考えられ、情報漏えいに繋がるリスクがあります。

メール盗聴のリスクは残る

当然、メール盗聴者もPPAPを理解しています。

メールの添付ファイルがあった場合、2通目のメールを盗聴すればパスワードが書いてあるので、そのまま盗聴されていしまいます。

そのため、メール盗聴に関しての対策としてはほぼ無意味という欠点があります。

ZIPファイルはマルウェアチェックができない

セキュリティ製品の中には、パスワード付きのZIPファイルの中身はチェックできないものもあります。

つまりファイルにウイルスが混入していた場合、そのままPCが感染してしまい情報漏洩などが起きてしまう可能性があります。

ZIPファイルのパスワードは実は脆弱

パスワードを掛ければ安心!という感覚があるかもしれませんが、パスワードの解析ツールと時間さえあればパスワードの解析は決して難しいものではありません

例えば英数字のみで構成された5ケタを解析するのにかかった時間はわずか「5分」です。

ZIPファイルの暗号はWebの暗号とは異なり何度でも入力可能なため、解析されるのは時間の問題となってしまいます。

PPAPは禁止される傾向にある

PPAPのリスクが露呈したためか、2020年11月、デジタル改革担当大臣の平井卓也氏が日本政府は今後中央省庁でのPPAPを廃止する旨を発表しました。

セキュリティ対策や受け取り側の利便性の観点から適切ではないと説明し、PPAPを実施する意味がないと世間にも知られるきっかけとなりました。

実際、日本の大手ベンダーも廃止を発表した企業が多くあります。

これまでのPPAPの代替案

代替案としては、以下のようなものがあります。

PPAPの代替案
  • 異なる転送経路(電話、FAXなど)によるパスワードの通知
  • メールの暗号化
  • ファイル転送などのオンラインストレージ(onedrive)の利用

しかし、いずれもパスワードの漏えいなどのリスクは残ってしまいます。

また、暗号化をするツールを使用する手間やコスト、客先に電話をするなどの手間は、業務負荷も増えてしまいます

このため、あまり代替案として使われる機会が増えていないのが実情です。

PPAPの新しい代替案「DAPP」

PPAPの新たな代替案として「DAPP」が知名度を伸ばしています。

DAPPとは、Device Authenticated Password Protocol の頭文字をとったもので、「パスワードが漏れても安心」という新たな技術です

PPAPに限らず、メールによるデータの通知はパスワードの盗聴による情報漏洩リスクを抱えており、これを手軽に解決する手段が模索されてきました。

DAPPはそんな懸念に対して、盗聴そのものに対する防止ではなく「パスワードを盗まれたらどう対処するか?」という考え方で考案された防御策です。

往来の運用では、パスワードが流失してしまうとそのまま悪用されてしまうため、パスワード自体の受け渡しに課題がありました。

漏れても安全なパスワードという技術は、受取人のPC端末でしか利用できない鍵を発行してパスワード合わせて認証を行います。

そのため、仮にパスワードが漏洩しても悪用される事がないというPPAPの問題点を改善した技術といえるでしょう。

まとめ

PPAPの代替案について解説しました。

PPAPの脆弱性が指摘され、大手ベンダーでもPPAP禁止の動きが活発化しています。

わかっていても運用を変えるコストを気にして、PPAPを廃止できないという場合もあるかと思いますが、情報漏えいなどの問題が起こってからでは取り返しがつきません。

情報の流出による信頼の失墜や影響は非常に大きく、長い間会社の足を引っ張り続けます。 早い段階でDAPPを始めとした代替手段を選定し、業務のインフラを整えリスク管理を徹底しましょう。

情報セキュリティ対策サイバー攻撃対策
タイトルとURLをコピーしました