コラムカテゴリー:セキュリティ
先日、とある企業の方とデータファイルのやり取りを行う機会があったのですが、データファイルが「PPAP」で共有されて驚いた。という事がありました。
2020年末ごろに話題となった「PPAP」ですが、調べてみたところ現在でも使用されている企業様は一定数存在するというアンケート結果などが見つかり驚きました。
なぜPPAPが使い続けられているのか、また、代替手段としてどのような方法があるのか、私の考えを述べます。
そもそもPPAPとは
PPAPとは、「メールでパスワード付きのZIPファイルを送り、別のメールでパスワードを送る」という方法でデータファイルなどを共有する方法のことを指した言葉です。
(P:Password付きファイルを送ります。 P:Passwordを送ります A:暗号化 P:プロトコル)
PPAP廃止に向けた流れ
2020年11月24日の内閣府記者会見にて「PPAPを廃止する」旨の発表がありました。
私の記憶ではPPAPという言葉が広く知れ渡ったきっかけは、この発表だったと認識しています。
政府の発表を受け、多くの企業が「PPAPから脱却するべき」という意識を持ち、対応が進みました。
しかし、冒頭にも述べたように、現在でもPPAPから脱却できていない企業は一定数存在しています。
PPAPが使われていた理由
1番の理由は「セキュリティ対策(情報漏洩対策)」と言われています。
例えば、以下のような考え方です。
- 仮に通信経路上で盗聴されたとしても、ファイルにパスワードが掛かっていれば中身を見られることはないため、安全である。
- 1通目のファイル付きメールを誤って意図しない相手に送付してしまっても、パスワードが不明なため、安全である。
コストをかけずに導入できる点、習熟が容易である点なども広く利用された理由として挙げられます。
PPAPがなくならない理由
冒頭に述べたアンケートの回答結果や、実際にPPAPでファイルを共有いただいた方と会話した内容から、PPAPを使い続けるのには以下のような理由があると考えています。
- 情報漏洩対策として、一定の効果があると考えている。
- セキュリティ上の問題があることは認識しているが、具体的に何が悪いのかはわかっていない。
- 従来から使用しており、問題が起きていないので大丈夫だと考えている。
つまり、以下のような状況であると考えます。
「PPAPの問題点が正しく理解されておらず、従来から使っているPPAPを慣習で使い続けている。」
では、PPAPの問題点について考えていきます。
PPAPはセキュリティ対策になっているのか
「パスワードを設定した情報」と「パスワード」を分けることで、情報漏洩リスクが低減されると考えることもできますが、同一の通信経路を使っているのであれば、1通目のメールが盗聴された場合には2通目も同様の方法で盗聴が可能なため意味がありません。
また、同じ相手に2通メールを作成する手間が発生するため、”アドレスを別のメールから引用する” ”過去メールへのリプライで作成する” ”2通目のメールを自動作成/送信するソフトを導入している” という対応をしている場合が多く存在します。
2通のメールに情報を分割しても、1つの情報を基にメールを作成しているのであれば、メール誤送信の対策にはなりません。
上記のとおり、PPAPにセキュリティ対策の効果はありません。
さらには、暗号化されたファイルはセキュリティソフトのウィルスチェックが効かない可能性があり、セキュリティ対策のつもりで実施していたPPAPが、脆弱性を高めてしまう結果となる場合があります。
PPAPの問題点を整理したところで、PPAPを脱却するための代替策について考えます。
PPAPを辞めたいときにはどうしたらよいのか
PPAPに代替される手段には、以下のような方法が考えられます。
- パスワードのやり取り自体をなくす。
例…事前にパスワードを取り決めておく
※注意点:推測されにくい複雑なパスワードを定期的に変更する事が推奨されます。運用負荷が高くなる可能性があります。 - 同一経路での情報共有を行わない。
例…パスワードを別の方法(対面、電話、SMSなど)でやり取りする - 関係者しか入れないセキュアな環境で情報のやり取りを行う
例…クラウドストレージや、ビジネスチャットツールの機能を利用して情報をやり取りする
※注意点:利用するストレージ、ツールのセキュリティ要件をしっかりとチェックする必要があります。
このような対策が考えられますが、企業の業務特性やファイル共有が行われる状況などによっても最適な方法が異なります。メリット・デメリットをふまえたうえで、最適な方法を検討いただくことが大切です。
なお、要望を具体的にしたうえで、既に導入済みのツールを見直したところ、導入済みのツールが要望を満たす機能を持っていたが、認識していなかった。という事もあります。
まずは現状(AsIs)とあるべき姿(ToBe)を整理する事が大切です。
また、検討においてはセキュリティ対策に特化したITコンサルティング会社に相談を行うなど、第三者の専門家に協力を依頼することも有効な手段になります。
PPAPの問題点を正しく理解いただき、慣習にとらわれることなく、脱却への検討を始めて頂くことが大切です。
現在もPPAPを使用している場合には、本コラムが脱却への手掛かりになれば幸いです。
関連サービス
2023年02月15日 (水)
青山システムコンサルティング株式会社