データ送受信時のセキュリティ対策として「PPAP」はビジネスの現場で当たり前のように使われていますが、その一方で、かえって安全性や生産性を下げてしまうリスクが生じてしまうといった声もあります。そんな中、デジタル改革担当大臣の発言を契機に、中央省庁でPPAP運用の見直しが始まり、その流れは民間企業にも波及しています。そこで改めてPPAPとは何かを振り返るとともに、なぜPPAPが危険視されているのか、そして「脱・PPAP」を進めるうえで抑えるべきポイントについて解説します。
そもそも「PPAP」とは何なのか?
PPAPとは、メールを通して安全にファイルを共有するための方法です。ファイルをパスワード付(暗号化)ZIPファイルに変換してメールに添付し、送信。送信後すぐにZIPファイルのパスワードを付けたメールを、別途送信するという方法です。
PPAPのメリットは、いわずもがな「手軽に暗号化を実現できる」ことにあります。暗号を記載した2通目のメールを自動送信せず、再度宛先を見直して設定するといった方法を取っていれば、誤送信による情報漏えいを防止する効果が期待できます。
なぜ「PPAP」はダメなのか?
PPAPを使うことで送信側は「セキュリティを担保した状態でメールを送った」という“取引先に対するポーズ”を示すことができるため、一種の安心感が得られます。ですが、受信側にとってはいちいちパスワードを入力してZIPファイルを解凍する手間が生じます。つまり、受信側の生産性を低下させてしまうのです。
また、誤送信防止対策としての機能を果たしきれていないことも課題です。同じメールアドレスにパスワードを送信しているため秘匿性はなく、そもそも暗号化した意味もありません。悪意ある人物が1通目のメールを「盗聴」できるのなら、2通目のパスワードを知ることは容易でしょう。加えて、パスワードの強度自体が弱く、短時間のうちに解析されやすい運用になっているケースも散見されます。
こうした問題に加えて最近では、マルウェアの侵入経路になりつつあります。PPAPは添付ファイル自体にパスワードがかかっているため、ウイルススキャンをすり抜けてしまい、逆にセキュリティリスクを高める危険性があるのです。昨今では、取引相手などになりすまして攻撃メールを送りつける「Emotet」が登場しており、PPAPの仕組みが使われているケースも多く見られます。
安全にデータを送受信する方法
ここでは、安全なファイル共有を実現する方法を提案するとともに、PPAPに代わる安全な送受信方法も紹介します。
パスワード付ZIPファイルの運用を強化する
ZIPファイルのパスワードを長く複雑なものにするとともに、電話やチャットサービスなどメール以外の手段で相手に伝えておくことで、PPAPよりもセキュリティレベルを向上させることができます。ただし、ウイルススキャンができないことに変わりはありませんので注意が必要です。
メールをS/MIMEで送信する
S/MIMEは、電子メールのセキュリティを向上する方式です。電子証明書を用いてメールの暗号化と電子署名を行うことで、従来の電子メールが抱える「盗聴」「なりすまし」「改ざん」のリスクを回避することができます。
S/MIMEならファイルをパスワード付ZIPファイルに変換することなく、そのまま添付できるため、セキュリティを確保しながら利便性も高めることが可能です。ただし、送信側と受信側がともにS/MIMEに対応している必要があるため、利用できる機会は限定されます。
クラウドストレージを利用する
クラウドストレージ上にファイルを保存し、そこへのアクセス用URLリンクを共有する方法があります。クラウドストレージでは一般的に、アクセス権やパスワード、有効期限などを設定できるため、安全に共有することができます。もしURLの送付先を間違えたとしても、すぐにリンクを無効化して被害を最小化したり、アクセス履歴を確認したりできる機能を持つサービスも存在します。また、メールにファイルを添付する方法ではファイルサイズに制約がありますが、それに比べると大容量のファイルを共有することが可能です。
ただし、新たにクラウドストレージを導入する必要があるため、コストと時間を要します。また、共有した後もファイルは編集可能な状態ですので、意図しないバージョンのファイルが閲覧される可能性があります。
まとめ
すでに中央省庁ではPPAPの廃止が始まっており、もはや時代遅れのセキュリティ対策であるとの認識が広まりつつあります。それでもPPAPを使用している企業は、マルウェアの危険にさらされ続けるだけでなく、取引先から「セキュリティ意識が低い企業だ」と思われてしまうかもしれません。
そこで今すぐ始められて効果的な手段として、ファイルを簡単かつセキュアに共有できるDropboxは有効です。また、その機能の一つであるDropbox Transfer を使用すると、ファイルの種類にかかわらず最大100GBまでをまとめて安全に転送することができます。その際、相手がDropboxのアカウントを持っている必要はありません。
Dropbox Transferでは、ファイルの内容は転送した時点から変更されないため、納品ファイルや契約書をクライアントに送信する場合にも有用です。クライアントには生成されるURLを知らせることでファイルを送ることができ、パスワードや有効期限の設定も可能。また、ダウンロード時に通知を受け取る設定にしておくことで、相手がファイルを取得したことを把握でき、やり取りをスムーズに進めることができます。PPAPを廃止し安全なコラボレーションを実現するために、Dropboxを試してみてはいかがでしょうか。
