長年、コンピュータセキュリティの手法の1つとして活用されてきた「PPAP」。
ですが、セキュリティーリスクなどが指摘され、政府が廃止を発表したり大手ベンダーがPPAPを廃止を決定するなどセキュリティーについても新たな動きがより活発となっています。
今回はPPAPのおさらいや今後の動向、代替案について紹介します。PPAPによるセキュリティのリスクを回避するため、ぜひ一読をおすすめします。
また、弊社ではPPAPを回避できるメールセキュリティサービス「メールZipper」をご提供しております。一社様月々2,000円から、添付ファイル保護、誤送信防止、Bcc強制変換機能など、メールのセキュリティ対策に必要十分な機能を備えております。
まずは60日間の無料トライアルで使用感をお試しください。
PPAPの内容をおさらい
まずPPAPの動向についての解説するまでに、そもそもPPAPとは一体何なのかをおさらいしましょう。
PPAPとは、
- P:Passwordつきzip暗号化ファイル送付
- P:Password送付
- A:暗号化
- P:Protocol
の頭文字です。
主にメール等における添付ファイルの送信手法として「パスワード付きzipファイルと、そのパスワードを別送する」という段階を踏む情報セキュリティ対策手法です。
メールのやりとりは手軽な反面、誤送信や盗聴のリスクがあるため、その対策としてパスワードを付加しました。誤送信をしてもパスワードを後で送ることができるため、送信先のダブルチェックが働きます。
この経緯によりPPAPは多くの企業で普及しました。
ですが、メール盗聴や誤送信のリスクが消えたわけではなく、ウイルス対策ソフトでのチェックができないというリスクもあります。
またPPAPの欠点が浮き彫りになった事例として、情報の窃取に加え、感染させた端末を使い、別のマルウエアに感染させる攻撃メールを送るなどの、大きな被害をもたらしている「Emotet(エモテット)」と呼ばれるマルウエアがあります。
Emotetに感染させた端末を使った攻撃メールは、マルウエアに感染させる文書ファイルをパスワード付きZIPファイル(圧縮ファイル)にして添付し、そのパスワードを別のメールで送るというPPAPと同じ手法が使われていました。
そのため、PPAPが当たり前になっていると、パスワード付きファイルを疑うことなく開いてしまうため、マルウエアに対する対策に「PPAPの廃止」が槍玉に上がるようになりました。
PPAPは日本政府内でも全面禁止になる傾向にある
PPAPが廃止の流れになったのは、デジタル改革担当大臣に就任した平井卓也氏の発言が大きかったと思います。
2020年11月24日の記者会見において、内閣府と内閣官房でPPAPを11月26日に廃止すると発表したためです。
セキュリティ対策の1つに対しこのような声明を出すのはかなりのレアケースであり、それほど重大なリスクがある手法だと世間に知れ渡りました。
PPAPの全面禁止が国内企業から相次いで発表される
PPAPの全面禁止は着実に浸透しつつあります。
有名ITベンダーの事例で言えば、子会社の日立ソリューションズがメールの添付ファイルを自動で暗号化するツール「秘文(ひぶん)」も、2017年に販売を終了。これを皮切りに、日立製作所が2021年10月8日に日立グループでのPPAP全面廃止を発表しました。
また、2020年12月1日よりクラウド会計ソフトを提供するfreeeが、メールによるパスワード付きファイルの受信を正式に廃止とするなど、ITベンダーのみならず、ベンチャー企業でも脱PPAPの動きが加速しています。
メール誤送信対策として不十分であるだけでなく、メール受信時のマルウェア検査をすり抜けてしまうなど、セキュリティリスクを高める存在であることが認知され、禁止の動きもより活発になりました。
情報セキュリティは新たな常識が確立されようとしているのか、日本でも有名なITベンダーは以下のような対応を見せています。
| 会社名 | 主な対応 |
|---|---|
| NEC | そもそもPPAPを利用していない |
| 日本IBM | そもそもPPAPを利用していない |
| 日本ユニシス | 2019年10月からPPAPを利用していない |
| NTTデータ | 原則禁止としていく予定だが、プロジェクトごとに事情も異なるため、当面は例外も認める予定 |
| TIS | 問題は認識しているが、現時点では廃止の予定はない |
| 伊藤忠テクノソリューションズ | 予定はないが、今後の方向性について検討中。また、既にチャットサービスやファイル共有サービスなどを並行して活用している |
| 富士通 | 廃止の予定はないが、全社的にクラウドシフト化を進めているので、今後クラウドストレージとDRMS(Digital Rights Management System)による方式で統一される |
このように対応はまちまちではありますが、有名な大手企業はそもそもPPAPを利用していない、もしくは今後廃止の流れがあります。
なぜPPAPが全面禁止されず使われていたのか
PPAPが全面的に禁止になるほどのセキュリティーにおいてリスクが高い手法だったのにもかかわらず、なぜ全国的に普及してしまったのか。それには当然訳があります。
PPAPの魅力は「導入が楽」という点に尽きます。
メールでファイルとパスワードを分けて送るのは、やると決めた時点で即座に実施できるため、コストがかかりません。また、メールを2回に分けて送るという特性上、ダブルチェックを形式上実施できるため、誤送信の対策としても有効だとして広まりました。
しかし、結局は同じ経路を使ってパスワードを送付、つまり送信するメールアドレスと受信するメールアドレスが同じです。そのため、その経路を盗聴されていた場合、おのずとパスワードもバレてしまいます。
そのため、リスクは非常に高く、近年のセキュリティ意識の向上により禁止されていきました。
日本のセキュリティ意識の低さが、PPAPが長年使われてきた理由だと思います。
PPAPが全面禁止された後は何が使われるか
PPAPが完全に姿を消しつつある今、時代は新たなセキュリティ対策を講じる必要があります。
そんな中、PPAPの代案としてDAPPが知名度を伸ばしています。
DAPPとは、
- D:Device
- A:Authenticated
- P:Password
- P:Protocol
の頭文字をとったものです。
その特徴は「パスワードが漏れても安心」という技術です。
パスワードが流失してしまうとそのまま悪用されてしまうため、パスワード自体の受け渡しに課題がありました。
プロットが開発した「漏れても安全なパスワード(DAPP)技術」は、受取人のPC端末でしか利用できない鍵を発行し、パスワードと合わせて認証を行うため、万一パスワードが漏洩しても悪用される事がありません。
PPAPに限らず、メールによるデータの通知は、(たとえファイルストレージを利用しても)パスワードの盗聴による情報漏洩リスクを抱えており、これを手軽に解決する手段が模索されてきました。
DAPPは、そんな懸念に対して、盗聴そのものに対する防止ではなく「パスワードを盗まれたらどう対処するか?」というアプローチによる防御策となります。
まとめ
PPAPが全面禁止になってきている流れについて説明しました。
PPAPは以前は、誤送信やメールの盗聴を防ぐために手段として行われてきましたが、時代の変化の中でそのセキュリティのリスクが露呈し、日本全体で全面禁止の動きが広まっています。 もしまだPPAPを業務で利用しているのであれば、前述したDAPPなどの新しい方法をぜひ検討してみてください。
また、ツールを導入するのであれば、「メールZipper」をご利用ください。PPAPを回避しつつ添付ファイルを保護できるだけでなく、誤送信防止に役立つ上長承認や送信一時保留、強制Bcc機能といったメールセキュリティに欠かせない機能が揃って一企業様あたり月々2,000円~ご利用可能です。
まずは60日間の無料トライアルで使用感をお試しください。
