PPAPとは 禁止になった問題点と安全な代替案
実は危険なPPAP!なぜ禁止されたのか、その問題点と安全な代替案を解説します。
PPAPとは?
PPAPとは、主に企業内で使われるファイル転送方法の一つで、メール添付ファイルを安全に送信するための手順です。「P:PasswordつきZIP暗号化ファイルを送ります」「P:Passwordを送ります」「A:Angouka(暗号化)」「P:Protocol(プロトコル)*」の略語とされています。この方法は、データ漏洩を防ぐために考案されましたが、近年、その安全性に対して多くの疑問が生じています。
*PPAPでのプロトコルとは、ZIPファイルとパスワードを別々に送るという手順の事となります。
PPAPの仕組み
[1通目]
PasswordつきZIPファイルの送信機密情報などを含むファイルを、パスワードで保護されたZIP形式で送信します。
[2通目]
Passwordの別送先に送信されたファイルを解凍するためのパスワードを、別のメールや通信手段で送ります。
このプロトコルは一見すると、パスワード保護によりセキュリティが強化されているように思えますが、実際には重大な脆弱性が存在し、禁止される動きが進んでいます。
なぜPPAPは禁止になったのか?
PPAPが禁止された背景には、いくつかの重要な理由があります。一見安全なように見えるPPAPですが、実際にはセキュリティ上のリスクが非常に高い手法です。パスワード付きZIPファイルは、セキュリティソフトによる検知を回避しやすく、また、パスワードを別途送信することで、受信者にファイルを開かせる心理的な誘導効果も期待できます。 そのため、PPAPは、Emotetやランサムウェアなどのマルウェアを拡散させるための有効な手段として、攻撃者に悪用されています。 さらに、PPAPは送信者と受信者の間でのやり取りに多くの手間がかかり、管理が複雑になることも問題視されています。特に、メールボックス内に同じファイルが複数存在する場合、その管理が煩雑になり、誤って重要なファイルを削除してしまうリスクも高まります。 2020年には日本政府がPPAPの使用を段階的に廃止する方針を打ち出しました。これは、政府機関においてもPPAPのセキュリティリスクが指摘され、より安全なファイル送信手段への移行が求められたためです。政府のこの方針により、多くの企業がPPAPを廃止し、受信拒否もする動きも広がって安全なファイル送信手段へとシフトしています。
PPAPの問題点
PPAPは、一見セキュリティを強化する手法のように見えますが、実際には以下のいくつかの問題点が指摘されています。
マルウェア攻撃に悪用されやすい
パスワード付きのZIPファイルは、攻撃者がパスワードを入手した場合、マルウェアを拡散する手段として悪用されるリスクがあります。攻撃者は、標的の受信者がZIPファイルを開くことを期待して、メールに悪意のあるコードを埋め込みます。このプロセスにより、システム全体が感染する可能性があり、重大なセキュリティインシデントを引き起こすことがあります。
盗聴リスクの可能性
PPAPの手法では、パスワードとファイルを別々に送信するというアプローチが取られますが、これにより盗聴リスクの可能性があります。攻撃者がメールを傍受し、パスワードとファイルの両方を取得できる可能性が高まるため、送信したデータの安全性は保証されません。特に、同じネットワーク内でこれらの通信が行われる場合、盗聴されるリスクが高まります。
利便性の欠如
PPAPの問題点の一つに、利便性の欠如があります。特にスマートフォンや一部の端末では、パスワード付きZIPファイルを開くのが困難な場合があります。これにより、受信者は適切なアプリを探したり、PCに転送して開いたりする必要が生じ、作業が煩雑化します。こうした不便さは業務の効率を低下させ、時間の無駄を招く可能性があります。
PPAPの代替案
PPAPに代わる安全で効率的なメールの添付ファイル転送手段として、HENNGE Oneのソリューション「HENNGE Secure Download」および「HENNGE Secure Download for Box」を紹介します。これらのツールは、データのやり取りをより安全かつ簡便に行うことができるため、PPAP対策の最適なソリューションとなります。
HENNGE Secure Download
PPAPの代替手段として、HENNGE Secure Downloadが注目されています。送信者はこれまで通りファイルをメールに添付して送るだけで、添付ファイルは自動的に切り離されて同ソリューションにアップロードされ、受信者には元のメール本文とファイルダウンロード用URLが記載されたPDFを添付し送ります。受信者は、PDFのURLからメールアドレス認証を行い、認証コードを入力するだけで安全にファイルをダウンロードできるため、PPAPの手間やセキュリティリスクを解消できます。 また、送信者が万が一誤ったファイルを添付しても、送信後にURLの無効化ができる誤送信対策にもなります。
利用ユーザーに負担をかけない操作性
添付ファイルは自動的にURL化されるため、送信者は意識することなくファイルをメールに添付するだけで利用可能。手動ZIP暗号運用からの脱却により工数削減にもつながります。
第三者によるダウンロードを防止
TO/CC/BCCに入っているメール受信者のみ、メールアドレス認証後ダウンロードできる仕組みになっています。ユーザー画面からダウンロード状況も確認可能です。
誤送信対策
万が一、添付ファイルを誤って送付してしまった場合も、送付後にURLを無効化することができるので、誤送信による情報漏洩リスクを軽減できます。
受信者側の利便性向上
ファイルを受け取る側も事前準備やインストールは不要。従来のZIPファイルでは難しかったスマートデバイスからのダウンロードも可能です。
HENNGE Secure Download for Box
またHENNGE Oneは、クラウドストレージサービスのBoxとの連携したHENNGE Secure Download for Boxも提供しています。こちらも、送信者はこれまで通りファイルをメールに添付して送るだけで、ファイルが自動的にアップロードされますが、こちらのアップロード先がBoxになります。受信者には本文と共有URLが記載されたPDFが送られ、別メールで届く認証コードを使ってファイルをダウンロードできます。送信者が万が一誤ったファイルを添付しても、送信後にURLの無効化ができる誤送信対策にもなります。 PPAP対策とBoxに社内のドキュメントをすべて集約させたいお客様には必須のソリューションになります。
PPAPは、一見便利な手法のように思われがちですが、実際には多くのセキュリティリスクを抱えています。そのため、現在では多くの企業や組織で使用が禁止され、より安全で効率的な代替案が求められています。
HENNGE Oneの「HENNGE Secure Download」および「HENNGE Secure Download for Box」は、PPAPに代わる安全で信頼性の高いソリューションです。これらのツールを導入で、データのやり取りが簡素化され、同時にセキュリティも強化されます。 企業や組織がPPAPに依存することなく、安全に情報をやり取りできるよう、HENNGE Oneのこれらの機能をぜひご検討ください。