ITセキュリティ女子のブログ

  • エンドポイントセキュリティ
2022.08.26

PPAPとは?「脱PPAP」が求められる理由と代替手段の選定ポイント

PPAPとは?「脱PPAP」が求められる理由と代替手段の選定ポイント

みなさんこんにちは、長谷川まりです。

PPAPをご存じでしょうか?おそらく業務でメールを利用する多くの方が経験されてきたセキュリティ対策としてのパスワード別送を指しますが、既に「意味がない」「リスクがある」とされて久しく、企業では脱PPAPの動きが盛んになっています。今回は、改めてPPAPとは何かのおさらいとリスク、代替手段についてご紹介します。


PPAPとは

♪アイハブアペン アイハブアンアッポー!

PPAP、耳に残る、楽しい歌でしたね。このPPAPが、いまITセキュリティの世界では忌み嫌われ、排除の動きが盛んになっています。

ITセキュリティにおけるPPAPとは、ご存じのとおり、「パスワード付きZIPファイルを送り、その後別メールでパスワードを送る」一連のアクションを指します。誰もが一度は経験したことのある手順ではないでしょうか。

ITセキュリティにおけるPPAPとは(造語ではありますが、上手いこと当てましたよね?)

P:Password付きZIPファイルを送ります
P:Passwordを送ります
A:Angoka(暗号化)
P:Protocol(プロトコル)

しかし当たり前のように普及してきたこの手順、現在ではその効果に疑問符が付いています。それはなぜなのでしょう。

PPAPのリスク

PPAPはもともと、メール送受信時の添付ファイルの情報漏洩を防止する目的で考案されたセキュリティ対策でした。それが忌み嫌われてしまったのは、以下の理由があります。


1.情報漏洩のリスク

そもそも運用当初に想定されていたのは、「電話」や「FAX」など、メールとは異なる別の手段を用いてパスワードを伝えるものでした。しかし、業務の効率や利便性の面で定着せず、いつしか「後追いのメールでパスワードを伝える」という方法がまかり通るようになってしまいました。その結果、「もし宛先が間違っていた場合には、パスワード付ZIPファイルとパスワード両方が間違った宛先にそのまま届いてしまう」という、情報保護の目的に全くそぐわない危険が発生してしまうことになりました。電話やFAXといったビジネスの主たる通信手段が、メールやチャットに置き換わっていく過渡期であったことも災いしたかもしれません。


2.マルウェア感染リスク

もうひとつの大きなリスクが、「添付ファイルのウィルスチェックができないこと」です。現在のウィルス対策ソフトでは、パスワード付きZIPファイルに対してウィルスチェックをする術がありません。多くの企業ではパスワード付きZIPファイルは「チェックなしで通過」させてしまっているケースがほとんどです。さらに困ったことに、受信者側の心理として「添付ファイルは社内セキュリティでチェックされているはず」という誤解が働き、何の躊躇もなくファイルを解凍してしまい、マルウェアに感染するリスクを高めています。実際にマルウェアを感染させたファイルをパスワード付きZIPファイルで送りつけるといった攻撃手法も確認されています。

PPAPが抱えるリスクとは?


必要な対策

このようなPPAPのリスクへの基本的な対策として、「パスワード送付時には他のチャネルを利用する」「ユーザー自身による慎重な取り扱い」が必要になるわけですが、個人のリテラシーに頼る対応では不十分です。そこで今、根本的にPPAPを廃止し、新たな代替手段として「安全なファイル共有方法」を各企業が模索する動きがあります。例えば以下の方法があります。


ファイル転送サービスの利用

メールで送れない大容量ファイルの送付手段として以前から存在するサービス。費用もおおむね安価で、期限設定や送信ログ機能などもあるため、PPAPの代替手段としての利用が可能です。ただし、サービスへファイルをアップロードするひと手間や、結局のところサービスへのリンクとパスワードをメール等で送信する必要があることなど、PPAPの持つリスクを根本的に解決するには運用も考慮する必要があります。


チャットツールを介したファイル送受信

ビジネスツールとしてチャットツールを導入済みの企業も増えており、ファイル送信手段の一つとして考えることができます。他の方法に比べて送信先の特定も容易なため、誤送信のリスクもある程度抑えることができます。しかし前提条件として受信者/送信者の双方が同じ製品のアカウントを持っている必要があるため、多数の送信先とやり取りする必要がある業態の場合は採用のハードルが上がってしまいます。


クラウドストレージサービスの利用

サービスとして提供されているアクセス制限機能や認証機能を利用することでセキュアなファイル共有ができます。アップロードやパスワード通達といった手間も省けるため、社内のDX推進に貢献できる、最も有効なPPAP代替候補のひとつと言えるでしょう。


クラウドストレージによる脱PPADの例

クラウドストレージサービスはその拡張性や機能面から、PPAPの代替手段として検討されることが多いです。サービス提供側もそれを十分に認識し、ファイル共有に関する機能強化を進めていますので、脱PPAPにクラウドストレージサービスを検討する場合は、運用面とセキュリティ面で、以下の機能に注目すると良いかもしれません。


クラウドストレージの選定ポイント

他のストレージとの連携機能がある

複数のクラウドストレージを利用している、または、オンプレミスストレージも併用している、といった運用の場合、ユーザーは「共有したいファイルがどこにあるのか?」を常に意識し、場合によっては共有のためのファイル移動が必要になります。クラウドストレージに他のストレージとの連携運用機能があると、ユーザーはファイルがどこにあってもすぐに共有操作を始めることができ、ストレスなく利用できます。

メールソフトとの連携機能がある

クラウドストレージを利用してファイル共有を行う場合でも、受信側にURLリンクを伝えるためにメールを送る必要があります。もしクラウドストレージにメールとの連携機能があれば、ユーザーは共有リンクを作成する作業とリンクをお知らせするメールの作成を同時に行えるので、作業効率が大きく向上します。

ファイル共有時のセキュリティ機能が豊富

例えば、多くの作業中ファイルが入ったワークフォルダから一つだけファイルを共有したい、といった場合には、送りたいファイルだけを別フォルダに移してから共有する、という操作が必要になる場合があります。もしそのような場面で、共有するファイルだけを相手に見せ、その他のファイルは見えないといった機能があれば、ユーザーはファイル移動の必要なくスムーズに処理を行うことが可能です。また、共有ファイルを参照させるがダウンロードはさせない、さらに見せるファイルには透かしを入れてスクリーンショットを防止するなど、ファイル共有時のセキュリティ機能があることで、さらにきめ細かいデータのやり取りが可能になります。


ファイル共有時に便利なクラウドストレージの機能

まとめ

以上のように、PPAPの持つリスクと代替方法についてご紹介しました。

  • PPAPには情報漏洩リスクとマルウェア感染リスクがある
  • PPAPの代替方法を各企業が検討しているが、お奨めはクラウドストレージの利用
  • クラウドストレージは他のストレージやメールソフトとの連携といった運用面の機能とセキュリティ機能の豊富さで選ぶとよい

PPAPの代替方法としてクラウドストレージのメリットをお伝えしましたが、一方で、クラウドストレージからファイルをダウンロードした際にマルウェアの感染リスクが残ります。 このリスクに対しては、ファイル無害化での対応をお奨めしております。クラウドストレージとファイル無害化製品とを組み合わせて利用することで、よりセキュアなPPAPの代替となります。

アシストではファイル無害化機能を持つリモートブラウザサービス、「Ericom Shield Cloud」をご紹介しています。続く以下のページで、「Ericom Shield Cloud」の機能の確認と資料をダウンロードいただけます。情報収集にお気軽にご利用ください。


長谷川 まり

株式会社アシストに入社以来十数年、セキュリティ対策製品担当として活動中。

売れない小説家だった祖父の影響で、文章を書くことが好き。
「役に立つ人間になる」をモットーに、日々真面目で丁寧な仕事を心がけている。

関連している記事

  • サイバー攻撃
  • エンドポイントセキュリティ
2023.04.20

Active Directoryを狙うサイバー攻撃の王道と有効なセキュリティ対策

サイバー攻撃では多くの場合、Active Directoryが狙われています。企業の中核システムとして止められない。多機能で運用も複雑。そんなActive Directoryを守るには、どうしたらよいのでしょう。

  • エンドポイントセキュリティ
  • テレワーク
2021.04.16

仮想デスクトップで使えるWVD(Windows Virtual Desktop)のメリット

テレワーク実現方法の1つ、仮想デスクトップ構築。中でもAzure上で提供されるWVD(Windows Virtual Desktop)は、Microsoftユーザーにメリットを感じやすいかもしれません。その理由を解説します。

  • エンドポイントセキュリティ
2021.03.08

「まだEDRで消耗してるの?」エンドポイントセキュリティの導入課題を考える

マルウェアによる攻撃が後を絶ちません。今回は、その攻撃の入り口となるエンドポイントのセキュリティ対策に焦点を当て、中でも多くの企業で導入検討が進むEDRの課題と解決策をわかりやすい動画で解説します。

プロフィール


長谷川まり
セキュリティ製品を担当。お客様からの信頼も厚い、お姉さん的存在。

人気記事

ページの先頭へ戻る