暗号化したzipファイルとパスワードを別メールで送付する方法の「PPAP」は、その脆弱性が問題視されており、多くの企業で脱PPAPへの動きが加速しています。
本記事では、PPAPに潜む危険性と有効な対策法を2つご紹介します。
ページコンテンツ
PPAPとは
社内外へのメールのやり取りを「PPAP」で行っていませんか。PPAPはPassword付きのzipファイルを送付した後に、別メールでPasswordを送付する方法のことを指します。
【PPAPの一連の流れ】
「P」assword付きzip暗号化ファイルを送る
「P」asswordを送る
「A」ん号化(暗号化)する
「P」rotocol(プロトコル=手順)
上記の流れの頭文字をとってPPAPと呼ばれるこの方法は、添付したファイルが流出した場合でもパスワードが漏えいしていなければファイルの中身を知られることは無いといったメリットがあります。そのため、情報漏えいやセキュリティ対策の一環として多くの企業で採用されてきました。
しかし、近年になってPPAPはセキュリティ対策としての効果が疑問視されており、手間もかかるといった理由から、昨今では採用する企業は減少しています。
では、セキュリティ対策として行われてきたPPAPにはどのようなリスクが潜んでいるのでしょうか。
PPAPに潜む3つの危険性
ここではPPAPにおける3つの危険性について具体的に紹介していきます。
メールが盗み見される
PPAPでは、暗号化されたzipファイルを送るメールとパスワードを送るメールの2通に分けて送信しますが、ここで注意したいのが「メールの盗み見」です。2通のメールを送る際には基本的に同じネットワーク上を利用するため、ネットワークが傍受(盗聴)されていた場合、2通のメールを合わせて盗み見されてしまう危険性があります。
ウイルスの侵入経路になってしまう
PPAPで授受するパスワード付きzipファイルがウイルスの侵入経路となってしまう可能性もあります。多くのセキュリティ製品ではパスワード付きのzipファイルのウイルスチェックはできません。そのため、もし添付ファイルがウイルスに感染していた場合、セキュリティの検知をすり抜けてしまい、受信者を脅威にさらしてしまう危険性があります。
ウイルスの中でも「Emotet」と呼ばれるマルウェアは、パスワード付きzipファイルの中身をウイルスチェックできないといった弱点を狙って世界中で被害を拡大させています。
Emotetについては下記記事で詳しく解説していますので、気になった方はこちらも是非ご覧ください。
パスワードが解読される
「1通目のメールを誤送信してしまった」といった際でも、2通目のパスワードは知られていないから大丈夫と考えてしまいがちです。
しかし、zipファイルが相手に渡ってしまった時点で機密情報漏えいの危険性は非常に高くなっています。zipファイルにはパスワードを一定回数誤った場合でもファイルを削除するような機能はありません。そのため、高い計算処理能力を持つコンピューターを用いてパスワードが解読された際には簡単に突破されてしまう可能性があります。
このように、PPAPにはさまざまな問題があり、セキュリティが万全であるとはとても言えません。次章では、PPAPの危険性への対策についてご紹介します。
情報漏えいを防ぐ!PPAPの対策法2選
PPAPに潜むメールの盗み見やパスワードの解読にはどのような対策が必要でしょうか。ここでは情報漏えいを防ぐために有効なPPAPの対策法を2つご紹介します。
メールと添付ファイル・パスワードの送受信経路を分離する
同一のネットワーク上でzipファイルとパスワードを送信してしまうと、ネットワークの盗聴によってファイルの中身が盗み見されてしまう危険性があります。そのため、メールと添付ファイル・パスワードの送受信経路を分離する対策が有効です。具体的には、重要なファイルをメールに添付せず、ファイル・パスワードの送受信はセキュアなクラウド環境を利用する等、複数経路を利用することが有効です。
この対策は一定の効果が見込まれますが、盗聴される可能性を無くすことはできないため不十分です。また、PPAP対策としてメールに添付したパスワードzipファイルの受け取りを拒否している企業も多くなっているため、zipファイルを直接メールに添付するやり取り自体を無くす対策が必要です。
受信者のみが認証できるようにする
パスワード付きのzipファイルでは認証の試行回数に上限が無いため、突破されてしまう危険性があります。このような危険性に対して有効な対策が「受信者のみがアクセスできるようにする」ことです。
クラウドストレージに受信者のみが開ける権限を設定したファイルを置き、メールの受信者にはファイルの代わりにクラウドストレージからダウンロードするためのURLを伝えます。こうすることにより、アクセスを許可された人のみがファイルをダウンロードでき、万が一宛先を間違えた場合でもアクセスを禁止にすることで漏えいも防げます。この方法であれば、zipファイルのパスワード認証の弱点を補うことが可能です。
次章では、手間がかかり危険性も高いPPAPから脱却し、安全なファイル共有を実現するソリューションについてご紹介します。
脱PPAPを実現するためのソリューション
脱PPAPを実現するためのソリューションとして「HENNGE E-Mail Security Edition」と「Box」についてご説明します。
クラウドメール統合セキュリティ「HENNGE E-Mail Security Edition」
「HENNGE E-Mail Security Editionはアウトバウンド(送信)・インバウンド(受信)双方に対応した統合メールセキュリティです。
PPAPの危険性への対策として有効な2つの対策(「ファイルとパスワードを別経路に分離して送付する仕組み」と「受信者のみがダウンロードできる仕組み」)を普段通りメールを送信するだけで自動的に実施可能となる機能や、大容量ファイル転送用のオンラインストレージなどを搭載しております。
法人向けファイル共有サービス 「Box」
法人向けファイル共有サービス「Box」は世界中で10万社以上、日本国内でも1万社以上の企業様に利用されています。
Boxはファイルやフォルダ単位で共有相手一人ひとりに異なる権限を割り振ることが可能なため、特定の相手に特定のファイルだけを共有するといった制御が可能となります。この機能によって、パスワード付きzipファイルのパスワードが解読されてしまうなどのリスクを低減しながら情報共有を行うことが可能です。
脱PPAPを図るためには「HENNGE E-Mail Security Edition」や「Box」といったソリューションを活用することで簡単に実現できます。
上記ソリューションの詳細は以下リンクにて詳しく紹介していますので、脱PPAPを検討されている方は以下リンクも是非ご覧ください。