電子文書(PDFファイル)に、見えない”透かし情報”を埋め込むことにより、情報漏えい抑止や不正利用防止など、電子文書のセキュリティ対策を支援します。
PPAPは、ファイルを送信する際のセキュリティ対策として普及している手法です。PPAPでは暗号化したパスワード付きのZIPファイルを添付したメールと、パスワードを記載したメールを別々に送りますが、セキュリティ面が脆弱であり、送信者・受信者双方に負担がかかるなどの課題があります。本記事では、PPAPの問題点やリスク、そしてPPAPの代替案を中心にご紹介します。
IT技術の浸透やテレワークの普及といった背景から、現在ではオンラインでファイルを送受信することが当たり前のものとなっています。ファイル共有は手間がかからず気軽に実施できる一方で、セキュリティ上のリスクもあります。そうしたなかで、ファイル添付に関するセキュリティ対策手法の1つとして広まっているものが「PPAP」です。
以下ではまず、PPAPの概要と定着した理由などについて解説します。
添付ファイルの自動分離やメール誤送信防止などの機能を持つWISE Alertの詳細がわかる資料をダウンロードできます。
PPAPとは、電子メールにて添付ファイルを安全に送信・共有するためのセキュリティ対策手法の1つです。パスワードで保護したZIPファイルを送信し、それとは別にパスワードを付記したメールを送信することで、ファイルを解凍する方法を指します。
ZIPファイルのような圧縮形式のファイルには、パスワードを設定して中身を暗号化する機能があります。その際、ファイルを開くためには設定したパスワードを入力して暗号化を解除(復号)することが必要であり、送信者は受信者に安全な方法で正しいパスワードを送る必要があります。
PPAPは、以下のワードの頭文字から取られた造語です。
P:Password付きZIPファイルを送ります。
P:Passwordを送ります。
A:Aん号化(暗号化)
P:Protocol(プロトコル※)
※プロトコルとは、システムやコンピューターネットワークにおいて通信やデータ転送などを行うための規則・手順のこと。
PPAPの方式自体は昔から使用されていましたが、PPAPの用語自体は2019年に日本情報経済社会推進協会(JIPDEC)に所属していた大泰司 章氏によって命名されました。その数年前に、お笑い芸人のピコ太郎氏が発表して話題になった同名の曲『PPAP』(Pen-Pineapple-Apple-Pen)に由来するとされています。
PPAPは、日本の企業や官公庁などで広く利用されてきた方式ですが、実際には政府が公式に推奨してきた事実はありません。それにもかかわらず普及した理由としては、2005年に全面施行された個人情報保護法への対応が関係していたとされています。
個人情報保護法の施行に伴って、プライバシーマーク取得の動きが広まり、公的機関から仕事を得ていた企業は、入札条件の関係からすぐにこれを取得する必要性に迫られていました。そうしたなか、プライバシーマーク取得に関するコンサルティングの市場が拡大し、コンサルタントの一部が公的機関と同様の規程を作成します。そのなかに含まれていた「情報を送信する者は、必要に応じ暗号化又はパスワード設定を行わなければならない」という文言が規程のテンプレートとして広がりました。
もともと、規程作成の参考にされていた総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン」には、メール以外の方法でパスワードを送ることが明記されていました。しかし、この認識がいつの間にか薄れていき、「パスワードさえかけていれば問題ない」という流れになったのです。
なぜPPAPが定着したのかをたどっていくと、このような歴史的背景があることがわかります。
添付ファイルの自動分離やメール誤送信防止などの機能を持つWISE Alertの詳細がわかる資料をダウンロードできます。
前述の通り、PPAPは日本の企業や官公庁で広く利用されている方式であり、従来は以下のようなメリットがあるとされてきました。
しかし、実際にはセキュリティ上の問題点・リスクがあることが明らかになっています。主な問題は「ウイルス・マルウェア感染」「情報漏洩・なりすましの危険性」「送信者、受信者の手作業が煩雑」という3点です。
1つ目のリスクは、ファイル内にマルウェアなどが含まれていた場合、ウイルスチェックを通り抜けてしまい感染する可能性があることです。通常、企業や官公庁はメールサーバやメールゲートウェイのウイルス対策ソフトによりマルウェアの検査を行っています。しかし、暗号化されたZIPファイル内ではマルウェアを検知できず、受信者に危害を与えるリスクが生じます。実際に、2020年にはこの手口を用いた「Emotet(エモテット)」と呼ばれるマルウェアの一種が、世界的に猛威をふるいました。
マルウェアなどが組み込まれたメールはたいてい取引先などになりすましており、文面も巧妙に作られているため、一見しただけでは怪しいものと判別できずに感染してしまう恐れがあり、注意が必要です。
ZIPファイルに付与されたパスワード自体が脆弱であり、情報漏洩やなりすましの危険性があることも問題点です。
ZIPファイルのパスワード試行回数には制限がないことから、機械的に何度もパスワードを生成できる専用のツールを用いて、それなりの時間と労力をかければ突破される可能性が高まります。ツールは比較的容易に入手でき、しかもその計算能力は年々向上しているため、今後ますます脆弱性が高まっていくものと予想されます。
また、パスワードそのものを知らなくても、ファイル名は確認できるという問題もあります。たとえば、顧客名をそのままファイル名にしていた場合、それを悪意のある第三者にのぞかれてしまうだけでも個人情報の漏洩につながりかねません。
さらに、暗号化されたファイルを傍受されている場合、同じ方法でパスワードが記載されたメールも傍受されている可能性が高いため、そもそもセキュリティ対策として万全ではないことも問題です。
PPAPによりファイル共有を行う場合、送信者側はファイルを添付したメールと、パスワードを記載したメールの2通を送らなければならず、手間がかかります。受信者側も2回に分けてメールを確認し、パスワードを入力してファイルの暗号化を解除する必要があり、作業が煩雑です。
ファイルが添付されたメールを受信してしばらく経ってからファイルを確認しようとする場合、パスワードが記載されたメールが他のメールに埋もれてしまい、探すのに時間がかかることも考えられます。こうした手間がかかることで余計な時間がかかり、生産性が低下することも課題です。
また、受信者側がスマートフォンからファイルを確認しようとする際に、バージョンの古いOSではZIPファイルを解凍できない可能性もあり、その場合には専用のアプリケーションを導入しなければなりません。このように、パソコン以外での確認に手間がかかるデメリットもあります。
以上のように、PPAPには多くの問題点があることを背景に、日本政府は脱PPAPに向けて動いています。
2020年11月には、当時の平井 卓也デジタル改革担当大臣が、内閣府・内閣官房ではPPAPを廃止すると発表しました。
こうした流れは民間企業にも波及すると予想され、実際に、大企業やグローバルな企業を中心に脱PPAPの流れが加速しています。パスワード付きファイルの受信を原則廃止する方針を示したIT企業も現れるなど、官民ともにPPAPを実施させない取り組みが徐々に進んでいます。
添付ファイルの自動分離やメール誤送信防止などの機能を持つWISE Alertの詳細がわかる資料をダウンロードできます。
PPAPは、セキュリティが脆弱で送受信者双方に手間がかかるなど多くの問題があるため、PPAPに頼らずにファイル共有を行うための対策が必要です。特に、これまでPPAPを漫然と続けてきた企業は、PPAPという「慣習」からの脱却が強く求められます。
PPAP以外のファイル共有方法を検討し、セキュリティについても見直すことがPPAP対策の第一歩です。
PPAP対策を進める際には、前提としてメールを用いて大容量のファイルをやり取りすることのリスクを認識する必要もあります。
第一に、メールで大容量のファイルをやり取りすると、受信側のメールサーバに負荷がかかることが問題です。メールサーバの容量を圧迫するために、サーバを頻繁に整理する手間がかかってしまいます。
また、メールで何度もファイルをやり取りしていると、過去に受信したファイルが添付されたメールが埋もれてしまい、再度探し出すのが面倒になることもあります。
さらに、前述の通り、ZIPファイルはウイルスチェックができない場合があるため、受け取りそのものを拒否している企業もあります。そうした企業には個別対応が必要となるため、より多くの労力がかかります。
では、具体的にどのようなPPAP対策を行えば良いのでしょうか。次章でその代替案についてご紹介します。
添付ファイルの自動分離やメール誤送信防止などの機能を持つWISE Alertの詳細がわかる資料をダウンロードできます。
PPAP対策の主な方法(PPAPの代替案)としては、以下の2つがあります。
1つ目はクラウドストレージ(オンラインストレージ)を活用したファイル共有の方法です。クラウドストレージはインターネット上のデータ保存スペースにファイルを保管するものであり、HDDやSDD、あるいは自社で所有するサーバにデータを保管しなくて済むようになります。有名なサービスとしては、Google DriveやOneDrive、Dropboxなどがあります。
クラウドストレージでは、編集権限やアクセス権限を複数のユーザーに付与することで、そのユーザーたちが同時に編集や閲覧を行える特徴があります。そのため、ユーザー間で都度ファイルを転送せずとも複数人で効率的に作業を進めることができます。
特に、テレワークが普及し別々の場所で仕事する社員が多い企業や、外出先で仕事する社員が多い企業におすすめです。
ただし、インターネット環境がないとファイルにアクセスできず、作業できないことや、障害発生時には復旧するまで一定の時間がかかることなどには注意が必要です。
2つ目は、ファイル転送サービスを活用して対策する方法です。ファイル転送サービスとは、サービス提供者のサーバにファイルをアップロードし、そこから相手にダウンロードしてもらうことでファイルを送受信するサービスです。
Web上にファイルをアップロードするとダウンロード用のURLが発行され、受け取り側はそのURLにアクセスすることでファイルをダウンロードできます。通常、ファイル転送サービスにはデータの保存期間が定められており、この点がファイル共有サービスとの違いです。
法人向けのファイル転送サービスはセキュリティ面がしっかりとしているサービスが多く、情報漏洩や外部からのサイバー攻撃への対策を万全にしたい企業に好まれています。たとえばウイルスチェック機能が充実しているものや、ダウンロード履歴をチェックできる機能を持つサービスもあります。
こうしたことから、セキュリティ面が脆弱であるというPPAPの課題を解消できます。
また、一度に大容量のデータを送受信でき、ファイルを圧縮するなどの手間がかからない点や、HDDやSDDなど物理的な記憶装置を用意しなくて良い点、無料のサービスもありコストをかけず手軽に利用できる点などがメリットです。
一方で、インターネット回線を通してファイルをやり取りするため、通信環境やファイルの容量によってはアップロードやダウンロードに時間がかかるデメリットはあります。また、無料のサービスではファイル送信やダウンロード履歴を確認できないものもあるため、注意が必要です。
添付ファイルの自動分離やメール誤送信防止などの機能を持つWISE Alertの詳細がわかる資料をダウンロードできます。
PPAP対策を実行するうえで役立つソリューションが「WISE Alert」です。
「WISE Alert」はメールの誤送信を防止するソリューションであり、専用サーバ不要で導入可能なOutlookアドインです。送信時に表示されるポップアップ画面で、差出人・宛先・添付ファイルなどの情報を一目で確認することができます。
「WISE Alert」の製品には「エンタープライズ版(企業向け・運用管理機能付き)」と「スタンダード版(小規模ユーザー向け・運用管理機能なし)」の2タイプがあり、両者ともに以下の機能が搭載されています。
メールの宛先が社外であったり、ファイルが添付されていたりする場合にチェックを促す警告画面(送信Alert画面)を表示
LDAPサーバに登録済みのユーザー情報がある場合は、そこから取得した宛先の会社名・部署名・氏名を表示
送信Alert画面の宛先情報をグローバルアドレスリストから取得して表示
エンタープライズ版は、これらに加え、お知らせポップアップ、「働き方改革」支援、運用管理の機能もあります。
添付ファイルの自動分離やメール誤送信防止などの機能を持つWISE Alertの詳細がわかる資料をダウンロードできます。
「WISE Alert」は、Outlookアドイン型メール誤送信防止ソリューションですが、ファイル共有によるPPAP対策にも活用できます。
PPAPの代替案の1つとして、ファイルストレージを利用する方法がありますが、事前にファイルをアップロードしておく手間があることに加え、メール本文内に共有用リンクをコピー&ペーストする手間があり、その際にミスが発生するリスクがあります。
「WISE Alert」のリンク共有機能は、メールに添付したファイルの送信前チェックを促すだけでなく、ファイル共有サービスを事前に設定することで自動的にアップロードされる機能もあります。メールの受信者にはリンク先を通知し、送信後の添付ファイルを一括管理することも可能です。これらの機能を通じて、脱PPAPを促進します。
WISE Alertは、下記の5通りの添付ファイル送付方法により自動的に暗号化を行います。PPAP対策としては、添付ファイルをファイル共有サービス(SharePoint、OneDrive、Box)に自動的に分離して送付することができます。また、暗号化したファイルの解凍パスワードも別メールで自動送信可能です。
Outlookアドイン型メール誤送信防止ソリューション「WISE Alert」の詳しいご案内やお見積もり、ご質問・ご相談やカタログの請求などございましたら、お気軽にお問い合わせください。
添付ファイルの自動分離やメール誤送信防止などの機能を持つWISE Alertの詳細がわかる資料をダウンロードできます。
画面サンプルを交えた「WISE Alert」の機能紹介や解決できるメール送受信の課題、価格、導入事例を紹介した資料がダウンロードできます。導入相談も承っております。