フォーム読み込み中
メールで社内や社外の方とやり取りをする際、セキュリティ対策の一環として、パスワード付き圧縮ファイルを送信後、別メールでパスワードを送信するケースがあるのではないでしょうか。この方法は PPAP と呼ばれ、国内で習慣化していますが、昨今廃止する動きが広まっています。本ブログでは、PPAP が廃止される理由や代替手段をご紹介します。
PPAP とは、パスワード付きの圧縮ファイルをメールで送信した後、別のメールでパスワードだけを送信する方法のことで、一連の手順の頭文字を取って作られた言葉です。一方のメールを誤送信してしまっても、受信者はファイルを開けないので、セキュリティが担保できる仕組みになっています。これまで多くの企業で採用されてきた情報共有の方法ですが、このところ増加している Emotet(エモテット)などのマルウェア感染の経路として利用される危険性があり、政府をはじめ多くの企業が利用を廃止しています。
※マルウェア:コンピュータやITシステムに悪い影響を与えるソフトウェアの総称。
※Emotet(エモテット):マルウェアの一種で強い拡散力を持つ点が特徴。感染するとほかのマルウェアを送り込まれるなど、あらゆるサイバー攻撃の足掛かりとなる危険性がある。
▼PPAPは頭文字4つを取った言葉
P=パスワード付き圧縮ファイルを送ります
P=パスワードを送ります
A=暗号化
P=プロトコル(手順)
ウイルス対策ソフトは自動的にメールのウイルスチェックを行いますが、パスワード付きの圧縮ファイルに対してはウイルスチェックができません。そのため、圧縮ファイルにマルウェアが仕込まれていた場合、受信者のPCがマルウェアに感染し情報漏えいを引き起こす可能性があります。
パスワード付きの圧縮ファイルとパスワードを別メールで送る PPAP は、ファイルとパスワードの送信経路が同じです。もし、一方のメールが盗み見られてしまえば同じネットワークから送信されるパスワードも盗み見ることが容易となり、ファイルとパスワードの両方を窃取される恐れがあります。一見セキュリティ対策になっているようにも見える PPAP ですが、攻撃者からすれば脆弱なセキュリティです。
パスワード付き圧縮ファイルを経由して、マルウェアに感染する事例が後を絶ちません。ある企業では、従業員のPCがマルウェアに感染し、社内外関係者の氏名やメールアドレスなどの個人情報の一部が漏えいしました。実際に従業員を装った第三者から不審なメールも確認されています。こうしたパスワード付き圧縮ファイルを経由したマルウェア感染は、個人情報の漏えいを引き起こし、お客さまや取引先に多大な迷惑をかけてしまうだけでなく、社内の別の端末に伝染したり、さらに強力なマルウェア感染の足がかりになるなど、最悪の場合、事業の存続ができない状況に発展する可能性もあります。
2020年11月に平井卓也デジタル改革担当相(当時)は、パスワード付き圧縮ファイルの送付と同じ経路でパスワードを送る方法は、セキュリティ対策の観点からも受け取る側の利便性の観点からも適切ではないとし、内閣府、内閣官房における PPAP の廃止を発表しました。これを受け、民間企業でも PPAP を廃止する企業が増えています。
ソフトバンクでも、昨今増加するマルウェア感染対策を受け、2022年2月に従業員が業務で使用するメールアカウントにおけるパスワード付き圧縮ファイルの利用を廃止しました。
※参考:ソフトバンク株式会社「当社におけるパスワード付き圧縮ファイルの利用廃止に関するお知らせ」
こうした各企業の「脱PPAP」の動きは、企業規模に関わらず今後さらに加速していくと見られています。
多くの企業が PPAP の廃止を進める一方、日々の業務にはファイルのやり取りが不可欠です。メール添付以外でのファイル共有には、政府も代替策として活用する「オンラインストレージ」があります。また、社内での共有であれば、よりスピーディに共有ができる「グループウェア」や、コミュニケーションが気軽な「チャット」も有効です。
外部企業とのデータ共有は、セキュリティ要件の違いから「グループウェア」や「チャット」などが利用しにくいため、オンラインストレージを利用する場面が多くなります。
オンラインストレージとは、インターネット上にデータを保存できる保存領域のことで、そうしたストレージを提供しているサービスそのものを指すこともあります。外出先でもインターネット環境さえあれば、データの共有ができるようになります。
法人が利用するオンラインストレージは、特にセキュリティの高さが重要になります。無料で利用できるものと違い、認証システムやデータの暗号化など、さまざまな対策が取られています。
セキュリティ面の危険性がある PPAP を避けるためには、より安心して利用できる法人向けオンラインストレージを検討してみてはいかがでしょうか。
ソフトバンクでは法人向けオンラインストレージ「PrimeDrive」を提供しています。ISMAP(政府認定クラウド)をはじめ、ISO27001やISO27017など第三者機関認証による高いセキュリティ基準を満たしているオンラインストレージです。オンライン申込限定で安価に利用できるキャンペーンを実施していますので、ぜひご検討ください。
条件に該当するページがございません