PPAPは廃止した方がいいという意見が最近になって出てきています。
PPAPというと、ピコ太郎さんのユニークな音楽をイメージする人が多いと思いますが、それとは全く別物です!
会社でよく使われるものなので、この記事でその危険性を知っていきましょう。
PPAPは、パスワード付きzipファイルのことです。
PPAPという言い方はITコンサルタントの大泰司章さんが命名したもので、「Pasword付きzip暗号化ファイルを送信」「Passwordを送信」「Aんごう化(暗号化)」「Protocol」の頭文字をとったそうです。
暗号化したzipファイルをメールで送信し、後からそのファイルを解凍するようのパスワードを送るという方法です。
添付ファイルの中身を盗み見されるのを防ぐ、誤送信してもファイルの中身を見られないで済むという理由から広がっていったファイル共有方法です。
ファイルの盗み見防止という点から一般的になっていったPPAPですが、なぜ今になって禁止されるようになったのでしょうか。
PPAPは、期待していたようなセキュリティ対策の効果が得られず、逆にセキュリティ面で問題があると多くの専門家から指摘され続けてきました。
では、どんな部分に問題があるのでしょうか。
Zipファイルとパスワードを別々に送っているとはいえ、通信経路は一緒です。
もし悪意のある第三者にメールを盗聴された場合、どちらも盗み見られてしまうので全くセキュリティ対策になっていないのです。
セキュリティ対策ソフトを入れている場合、通常はファイルがパソコン内に入る前にセキュリティソフトがスキャンを行い、ウイルスがいないことを確認してからパソコン内に送られます。
しかし、パスワード付きzipファイルの場合、セキュリティソフトはファイルを開くことができないためスキャンが行われないままパソコン内に入ってしまいます。
そのため、パスワード付きzipファイルはセキュリティ対策どころかウイルスの侵入を許す隠れ蓑になってしまっているのです!
去年の夏ごろに流行ったEMOTET(エモテット)というウイルスもパスワード付きzipファイルを添付して感染を拡大していました。
このように、実際にウイルスの隠れ蓑として使われてしまっています…。
ファイルを解凍すると、受信者のローカルPCなどに格納されます。
そのため、ファイルはメールサーバーとローカルPCの二か所に存在することになり、盗み見されるリスクも高まります。
また、zipファイルのパスワードは何度パスワードを間違えてもロックがかからないため、総当たり戦でパスワードを解読されてしまう可能性が高いです。
このほかにも、PPAPは開封と管理に手間がかかるため、受信者側の生産性を低下させるという点でも指摘されています。
これでセキュリティ能力も低いのでは、この方法を用いる理由がなくなってきますね…
このようなセキュリティ上の問題を受け、PPAP方式の廃止を発表するところが増えています。
2020年10月に開始したデジタル化推進に関する意見募集サイト「デジタル改革愛ボックス」にPPAP方式の問題について多くの意見が寄せられたことから、政府はPPAP方式によるメール送信の廃止を発表したそうです。
それに伴い内閣府では、「内閣府の全職員の外部向けファイルを共有するときはPPAPは使わない」という新ルールを2020年11月26日から開始しています。
日立製作所は、「これまではセキュリティ対策がしっかりした状態でのファイル共有技術が発達していなかったため、PPAPを使用していた」と話しており、本来は利用するものではないと考えていたようです。
そのため、20201年1月下旬からPPAPを禁止する方針を固めました。
クラウド会計ソフトや人事労務ソフトなどを手掛けるfreee株式会社は、アメリカ政府の注意喚起を受け、2020年10月から、PPAPの廃止に向けて動いていました。
同年11月には受信禁止の方針を発表し、PPAPを利用していた取引先に利用を止めてもらうようにお願いもしていたようです。
危険度をいち早く察知し、廃止に積極的なところにセキュリティ面での信頼を得られますね。
このように、企業でも政府でもPPAPは廃止の方向で動いています。
それだけPPAPにはセキュリティ上のリスクがあり、軽視してはいけない問題なのです。
受信側へのリスクあることを忘れないでください!
PPAPを使わないとなると、他の方法でファイルを送る必要がありますよね。
そこで、安全にファイルを送る方法をご紹介します。
ファイル転送サービスとは、送信者が指定のサイトにファイルをアップロードし、受信者はそのサイトにアクセスしてデータのダウンロードを行うもので、大容量ファイルを共有したい時に重宝します。
ファイル転送サービスのほとんどに、パスワード設定・自動削除・上長による承認などのセキュリティ機能がついているので、安心してアップロードできます。
誤送信に対応しているところもあるので、送信者も受信者も安心して使うことができます。
メールをやりとりの手段として使うのなら、メールの暗号化を行うのがいいでしょう。
暗号化を行うことで第三者に盗み見される心配もありません。
メールの暗号化としては、S/MIME(Secure/Multipurpose Internet Mail Extensions)があります。
S/MIMEは暗号化するだけでなく電子証明書を用いるため、送信者のなりすましやメールの改ざんも防ぐことができ、セキュリティ面で信頼性が高いです。
しかし、証明書の発行に手間がかかるため、実装のハードルが高いです。
最近は「メール暗号化ソフト」も出てきているので、そこから自分(会社)に合った特徴を持ったものを導入するという方法もあります。
メール暗号化については、下記の記事で詳しく説明しています。
メール暗号化のメリットは?おススメソフトは?などの疑問が解消しますよ♪
ファイル共有サービスは、インターネット上でデータの保管や共有を行えるストレージサービスです。
こちらであればフォルダへのアクセス範囲を制限できるため、第三者に盗み見される心配なくフォルダを共有することができます。
共有する際も、一度メールでファイルの置き場所を知らせるだけなので、受信者側の手間も少なく済みます。
スマートフォンに対応しているサービスもあるので、外出先でも気軽に閲覧することができて便利です。
費用は掛かりますが、情報漏洩リスクが減って管理も楽になるのでおすすめです。
ここまで、情報漏洩リスクの高いPPAPについてお話してきました。
今まで普通に使われていたパスワード付きzipファイルにこんなリスクがあったなんて驚きですよね。
危険性を知った今、会社で使用禁止に向けて動き始める必要があります。
今後もPPAPの送受信を廃止する会社は増えていくと思うので、今から少しずつ廃止に向けて動いていってください。
PPAPを使い続けていると、会社としての信頼も下がってしまいます!
クラウドサービスなどを使って安全なやり取りを行いましょう♪