※本記事は2021年8月30日コラムのリライトになります。
PPAP(メール添付時の「パスワード付きzipファイル」)の問題点をご存じでしょうか?2020年11月政府が内閣府と内閣官房で、PPAPを全面廃止にすることを発表してから、多くの企業で脱PPAPに向けた取り組みが行われています。
そこで本コラムでは2回にわたって、PPAPの問題点からCTCグループ社員18,000人が脱PPAPを実現した実績を基に対策について解説します。
PPAPとは、メール添付時の「パスワード付きzipファイル」のことを指しており、「PPAP:Password付きzipファイルを送ります、Passwordを送ります、Aん号化(暗号化)、Protocol(プロトコル)(※)」の略称となっています。
現在では押印と同様に国外ではほとんど行なわれていませんが、国内では官民問わず多くの現場で行われている運用のことを指します。
※日本情報経済社会推進協会に所属していた大泰司章氏(現・PPAP総研)によって問題提起・命名
前述しました通り、海外では普及していないPPAPがなぜここまで普及したのか。
いくつか理由がありますが、代表的なものとしてプライバシーマーク制度や情報セキュリティ対策ガイドラインによる影響が大きいとされています。
プライバシーマークやISMS認証を取得する際に、「機密情報を含むファイルをメールで送信するときはパスワードをかけて、そのパスワードを別送する」といったルールを設けないと審査が通りにくい、といった理由から広まっていったと言われています。
ちなみに一般財団法人日本情報経済社会推進協会(JIPDEC)は、「個人情報を含むファイルをパスワード設定により暗号化してメールに添付し、パスワードを別メールで送信することは以前から推奨していない」と明確に否定しています。
また、中小企業向けの情報セキュリティ対策ガイドラインでも、同様に「重要情報は電子メール本文に書くのではなく、添付するファイルに書いてパスワードなどで保護していますか?」といったセキュリティチェックが多く利用されたこともあり、PPAPが普及していきました。
このように広く普及した暗号化Zipファイルのメール添付は、従来であれば「セキュリティ対策」の一つとして利用されてきました。
しかし、平井卓也デジタル改革担当大臣は2020年11月24日の記者会見で、「PPAP」を内閣府と内閣官房で11月26日に廃止すると発表しました。理由としては、セキュリティ対策として不十分である点や、受信側の利便性の観点から適切ではないというもので、政府の意見募集サイト「デジタル改革アイデアボックス」に投稿された多数の意見が反映されました。
それではPPAPの問題点として、なぜセキュリティ対策として不十分なのか、受信側の利便性で不適切なのでしょうか?具体的に解説していきます。
PPAPは一通目に「パスワード付きzipファイル」を送り、二通目に暗号を記載したメールを送信します。
一見するとセキュリティを強化するための手段に思えますが、圧縮ファイルとパスワードが同じメールサーバー上を行き来するため、悪意ある第三者がメールを不正に取得・閲覧することができる場合、どちらのメールも簡単に盗み出されてしまいます。
ウイルス対策ソフトでは、暗号化Zipファイルの添付ファイルメールに対してウイルススキャンができないため、ウイルス感染のリスクが高まる点も問題視されました。
このセキュリティリスクを利用したのが、マルウェアの「Emotet※1」や新種のトロイの木馬である「IcedID※2」です。
このような暗号化Zipファイルを使った、マルウェアをユーザーの手元に届けるような手口は、2020年に活発となり、IPA独立行政法人情報処理推進機構への相談が急増するなど世間を騒がす事態となりました。
セキュリティ面以外でも、PPAP方式でのメールの送受信には課題があります。送信者側はメール送信のためだけにパスワード付きZipファイルを作成し、受信者側も暗号化Zipファイルを閲覧するたびに、パスワードが記載されたメールを探して復号(解凍)しなければなりません。送信者側は自動でPPAPにするシステムなどを利用すれば負担は抑えられますが、受信者の操作は変わらないため負担軽減することはできません。
最近ではPPAPを採用しない企業が増えてきており、各省庁を皮切りに半官半民企業や大企業などもPPAPを廃止する動きとなっています。さらに、PPAPを廃止した企業や海外企業などは自社での取り組みだけではなく外部からのPPAPでのメールをブロックする企業も出てきており、取引企業についても対応策が求められてきています。
脱PPAPの対策として、PPAPの問題点を回避し利点を保持するためには、どのような方法が有効なのか、具体的な対策を挙げていきたいと思います。
「ファイル転送サービス」とは、大容量ファイルをメール送信する際に利用されるサービスです。送信者は送付したいファイルをインターネット上に公開されているサーバーにアップロード後に、ダウンロード用のURLとパスワードを受信者側へ連絡します。受信者側は送信されたダウンロード用のURLサイトを開いて、パスワードを入力し、ファイルをダウンロードする仕組みです。脱PPAPへの対策としては、ファイル転送サービスを既に利用されている企業も多く、安価に移行は可能ですが、利便性(運用性)についてはPPAPのデータ送信に比べて操作手順が多くなります。
「S/MIME(Secure / Multipurpose Internet Mail Extensions)」とは、電子メールのセキュリティを向上する暗号化方式のひとつで、電子証明書を用いてメールの暗号化とメールへの電子署名を行うことができます。S/MIMEを利用すれば、「メールの盗聴」「なりすまし」「改ざん」などを防ぐことができ安全にファイルを送信できます。しかし、送信側と受信側の双方で電子証明書を準備する必要があることから、S/MIMEはあまり普及していないのが現状です。
「オンラインストレージ」とは、インターネットの公開サーバー上でデータ保存領域を借りて、社内外関係者とのファイル共有をするサービスです。時間や場所での制約は特になく、インターネットへ接続ができれば職場外からでも利用することができます。送信したいファイルをオンラインストレージへアップロードし、データ保存領域のURL情報を共有したい相手に伝えることで、ファイルサーバーと同じような感覚でデータのやり取りが可能です。オンラインストレージを活用すれば、ファイルに間違いなどが見つかった場合も、すぐに削除することで差替えや誤送信などにも対応ができます。特定の宛先に対してのデータやり取りは容易ですが、不特定多数とのデータのやり取りは、アクセス権限などのメンテナンス負荷が高くなるため注意が必要です。
「メール添付ファイル自動分離」とは、通常通りメールへファイルを添付して送信した際に、メールに添付されたファイルは自動で分離され、インターネット上の公開サーバーへアップロードされます。また、ダウンロード用のURLがメール本文に自動的に挿入されるため、ユーザーへの負担を減らすことができます。受信者側は送信されたダウンロード用のURLサイトを開いて、パスワードを入力し、ファイルをダウンロードする仕組みです。 そのため、メールの特性を生かした不特定多数とのやり取りに向いている方式といえます。
様々な対策方法がありますが、PPAPへの対策としてはメール添付ファイル自動分離が最も有効な方法と考えます。
それではもう少し具体的に、どのようなメリットがあるのか見ていきましょう。
1.いつものメール送信手順の変更不要
従来通りのメール送信手順でファイル連携が可能。
2.大容量ファイル送信可能
ファイル転送サービスを利用するため、ファイル容量を気にせずメールで送信が可能。
※メールサーバーの容量制限など各社内設定値の範囲内となります
3.ファイルの到達確認
相手先がファイルをダウンロードする事で通知メールが社内のユーザーに届きます。
4.誤送信防止
送信したファイルでも相手先がダウンロードする前であれば、取り消しが可能で、誤送信防止対策になる。
5.リアルタイムのウイルスチェック
ウイルスチェック機能などを利用すれば、送信ファイルをリアルタイムでチェックすることができます。
6.証跡確認
「誰が」「いつ」「どんなファイルを」「誰に」送信し、 「いつダウンロードされたのか」、等の証跡を確認可能です。
このようなメリットがあることから、脱PPAPへの対策方法として最も有効であると考えます。次回は、脱PPAP対策の最も有効な方法である「メール添付ファイル自動分離」を実現するメールセキュリティソリューションの「eTransporter」について解説します。
▼PPAP問題を解決!簡単・安全にファイル送受信
eTransporterはコチラ!
▼メール誤送信防止と暗号化を同時に実現!
CipherCraft/Mail 7はコチラ!
<著者>
髙波 明
<経歴>
クライアントサポートからインフラ構築エンジニアを経験、ここ数年はエンドポイントセキュリティを中心にサービス企画からプロモーション活動などを担当。料理が得意で、前職は料理人という一味変わった経歴の持ち主。
CTCシステムマネジメントコラム
CTCシステムマネジメントコラムでは、ITシステム運用の最新動向に関する特集・コラムがご覧いただけます。
