各企業で採用されているPPAP手法によるセキュリティ対策は、運用リスクが高く代替手段の導入が求められています。サイバー犯罪の脅威は世界中で高まっており、その必要性は日本でも例外ではありません。

サイバー犯罪の高度化が進む現在では、セキュリティ意識の低さは組織に重大な損害をもたらすこともあります。どのような対策を施すことが有効なのか、本記事を参考にしながら社内で検討を進めましょう。

PPAPとは

PPAPは、メールによるファイル共有の際に用いられているセキュリティ対策の一種です。「パスワード付きZIP（Password）、パスワード送信（Password）、暗号化（Angou）プロトコル（Protocol）」の頭文字を取ったもので、日本でのみ運用されている対策方法です。

メールでファイル送信を行う際、ZIPファイルとパスワードを別々に送信することで、機密情報が漏えいしてしまうことを回避する方法です。運用がルール設定のみで始められることから、日本の行政や企業では広く普及していた方法ですが、近年は内閣府でもPPAPの廃止が進むなど、その運用リスクや有効性については強く疑問視されています。

PPAPの抱えるリスク

PPAPの運用には、複数のリスクが伴うことが近年明らかになっています。そもそもセキュリティ対策としての意味がないだけでなく、マルウエア感染のリスクを回避できないばかりか、現場の業務負担増大にもつながるなど、見直しが必要な施策であると考えられています。具体的なPPAP運用のデメリットについて、詳しく解説します。

セキュリティ対策としての意味がない

そもそも、PPAPにはセキュリティ対策としての効果は期待できません。たとえZIPファイルとパスワードを別々に送信しても、メールサーバーごと第三者に情報が流出している場合、二通に分けたメールの内容も筒抜けであるためです。

また、ZIPファイルはパスワードをかけていても、総当たりによってパスワードを突破できる点も難点です。ZIPファイルのパスワードは入力回数に制限がなく、プログラムを使って簡単に解除できます。

誤送信のリスクを回避できない

メールを誤って外部のアドレスに送信してしまうのは、メール運用におけるセキュリティ対策を困難にするリスクの一つです。アドレスを少し間違えるだけで赤の他人に情報を共有してしまうため、PPAPでもこのリスクは回避できません。

マルウエア感染のリスクを回避できない

最近主流の脅威の一つに、ZIPファイルを用いたマルウエア感染が挙げられます。関係者を装ってマルウエアが仕込まれたファイルを送信し、担当者が誤って開封してしまい、社内サーバーごと乗っ取られてしまうパターンです。

ZIPファイルを使ったやりとりが常態化していると、簡単にこのような脅威に引っかかってしまう恐れがあります。

運用が面倒で業務負担の増大につながる

PPAPの運用は、単純に手続きが面倒という問題もあります。意味もなく二通もメールを送ることで、メール送信の手続きが増えるだけでなく、後からメールを検索する際も煩雑になり、確認ミスを誘発します。

PPAPに代わるファイル共有手段とは

上記のような問題を回避するための手っ取り早い代替手段として、主に二つの方法が採用されています。

ファイル共有については、クラウドストレージの活用が各社で進んでいます。Web上で利用できるストレージサーバーのクラウドストレージを利用することで、共有ファイルをすべてそこに保管しておけば、必要な時に必要な人がリアルタイムで各データにアクセスできるようになります。

あるいは、メールではなくチャットツールや社内SNSの採用も各社で進んでいます。社内でのみ利用するIDとツールを使ってコミュニケーションをとることで、外部流出や干渉の心配なくファイル共有やメッセージのやり取りができ、高度なセキュリティを実現できます。

PPAPに代わるファイル共有手段やセキュリティ強化を検討している場合、上記の対策方法の導入をおすすめします。

自社のセキュリティ環境を正しく見直そう

PPAPは今や時代遅れのセキュリティ対策となっているだけでなく、業務負担の増大にもつながっています。企業を標的としたサイバー犯罪が増加する中、今やるべきことは自社の情報セキュリティを見直し、効果のある手法を導入することです。また、クラウドサービスの導入などはセキュリティ強化につながるだけでなく、業務効率化にもつながります。業務のパフォーマンス改善も踏まえ、有効なセキュリティ対策を進めましょう。