【前編】いまさら聞けないPPAP問題
~PPAPをやめたいけど踏み出せない方に~
- お役立ち情報
2023年06月15日
- クラウドセキュリティー
- メールセキュリティー
PPAP(ZIPファイル暗号化+パスワード追送)は、ファイル保護や誤送信対策を目的として日本で広く定着した情報共有手法でしたが、セキュリティー上の懸念や閲覧性の問題から運用の見直しが急務です。本記事では、前編と後編に分けて、PPAPのリスクと問題点を解説し、より安全な代替手段を提案します。重要なデータを適切に共有することで、情報漏えいや不正アクセスのリスク軽減を目指していきましょう。
目次
PPAPのリスクと問題点
ファイルをパスワード付きZIPファイルで圧縮しメール添付で共有する方法をPPAP(ピーピーエーピー)※1と呼ぶことは、すでに多くの方がご存じだと思います。パスワード付きZIPファイルでのファイル共有(以後PPAP)は、個人情報などの機密情報をやり取りするうえで、電子メールを使って(送信者と受信者の生産性を犠牲にしたうえで)低コストで誤送信対策が実現できていました。しかし、近年、EmotetのようなZIPファイルを狙うランサムウエアの登場により、PPAPでのファイル共有が危険視されています。また、最近では受け取りを拒否する企業も増えてきており、ファイル共有方法の見直しが急務だという企業も増えています。
- ※1PPAPは「Password付Zipファイルを送ります。Passwordを送ります。Aん号化(暗号化)、Protocol(プロトコル)」の略で、情報処理学会誌「情報処理」2020年7月号小特集「さようなら,意味のない暗号化ZIP添付メール」で提唱されました。そのアイロニーなネーミングと、ピコ太郎の名曲との関連性も想起し、瞬く間に広がりました。
ZIPファイル運用の危険性
ウイルスチェックを素通りする
ZIPファイルで暗号化されたファイルは多くのウイルス対策ソフトが中身を検査できないため、危険なファイルかどうか判別できません。そのため、ZIPファイル内にマルウエアが含まれる可能性があり、解凍・開いた場合にマルウエアが実行される危険性があります。
ファイル漏えいの危険性
ZIPファイルを解凍後、パスワード設定されていない状態でファイルを保存していることも多いと思います。また、アクセス権が適切に管理されていない共有ファイルサーバーなどに保管されることもあるでしょう。ファイル共有から一定の時間が過ぎた後は、共有時に取り決めた取り扱いポリシーも忘れさられていることも多いため、ファイル受信者・企業の運用ガイドラインや個人の振る舞いに依存してしまいます。
モバイル端末での閲覧
ZIPファイルはモバイル端末などで閲覧することができないため、外出先から中身を見ることができません。このため、ZIPファイルを外出先から閲覧したい場合には、常にノートパソコンを持ち歩く必要性があります。公衆Wi-Fiなど社外ネットワークに接続する危険性や、物理的な盗難リスクなども発生します。ZIPファイルを送付するということは、マルウエア感染以外のセキュリティーリスクが発生することになります。この時勢柄、マルウエア感染リスクよりも、常時ノートパソコンを持ち運ぶことの方が、怖い気がします…。
パスワード運用の脆弱性
パスワードの管理
複雑なパスワードを生成・記憶しておくことは難しく、共有相手が同じ場合、慣例で決められた短いパスワードになりがちです。果たして、そのようなパスワード(もはやキーワード)は本来の目的を果たしているのでしょうか?
複雑なパスワード
パスワード生成ツールを利用してセキュリティー強度が高いランダムな文字列を生成した場合においては、ZIPファイルとパスワードを紐づけて管理しておかないと、いざ必要なときに解凍できないということもあります。一定期間たった後にパスワードを探すこともたびたびあります。
共有手段同じ問題
そもそもパスワードは別の手段で送ることが望ましいです。SMSやチャットなどで送るのがよいでしょう。しかし、実際に毎回これを実施している鉄の意志を持っている人に出会うことの方が少ないです。関わっているプロジェクトが多くなるほど破綻してしまいますね。
思わず熱く語ってしまいましたが、実際PPAPは何も良いことはありません。意味のない儀式です。最近ではZIPファイルやメール添付ファイルを受け取らない企業も出始めています。筆者は今でも、ごくまれにPPAPなメールが届くこともありますが、そのたびにPPAPは一刻も早くやめたい日本の悪しき習慣と思うわけです。
より安全な代替案とは?
その1:PPAPは辞められないからツールでもっと強固にしてみよう派
メールという商習慣を変えるのは難しい、ならば、より強固にメール送信をする方法です。例えば、ZIPファイルとパスワードは自動的に別経路で配送する。メールそのものを強力に暗号化して盗聴を防ぐ、送信前の宛先チェックや上司チェックなど誤送信対策を取り入れるなどの機能が盛り込まれています。
その2:別のツール使ってファイル転送・共有しよう派
ファイルの実体はクラウドストレージやファイル転送ツール上にアップロードし、共有相手にはメールやチャットなどでURLを知らせるという方法です。使い勝手はクラウドストレージやファイル転送ツールのUI/UXに依存します。
その3:メール以外のSaaS使って共有しよう派
チャットやWeb会議ツールを使って相手にファイルを送る方法もあります。ワタシは怖くて出来ないです。便利な反面、誤送信(相手が間違っている・ファイルが間違っている)に注意が必要ですし、利用者全員に相応のITリテラシーが求められます。
その4:メール添付ファイルは全部引っぺがして保管しよう派
メールに添付されたファイルを自動検知してファイルを分離して保存する方法です。分離されたファイルはURLに自動的に変換されて相手に共有されるので、メールを受け取った受信者はURLにアクセスしてファイルを閲覧・DLします。
なぜ企業でPPAPを禁止できないのか?
これまでご紹介してきたように、脱PPAPを実現するソリューションは数多く登場しています。
- ※2サイバーソリューションズ「『脱PPAP』の実態調査」(https://download.cybersolutions.co.jp/wp/ppap_2023)
ここで一押しのソリューションをご紹介しようと思いましたが、長くなってしまったので、後編でお届けしたいと思います。
田中 克弥(たなか かつや)
ユニアデックス株式会社
マーケティング本部 ビジネス企画開発部 第一企画開発室
企業向けネットワークエンジニアとしてキャリアをスタートし、2009年のクラウド黎明期に米国シリコンバレー駐在を経験。2011年からマーケティング企画部門において数多くのお客さまシステムの提案に携わる。現在、企業向けコラボレーション、コミュニケーションのあるべき姿を追求する伝道師として活動中。最近一番はまっている趣味はビカクシダ育成。
関連情報
関連商品・サービス
関連コラム
カタログダウンロード
お問い合わせ
お客さまの立場で考えた、
最適なソリューションをご提供いたします。
お気軽にお問い合わせください。