脱PPAPって?企業のセキュアな情報共有をICT Solution!
PPAPとはパスワード付きファイルをメールで送信する、日本で馴染みのファイル共有方法だ。「(P)パスワード付きzipファイルをメールで送り、次に(P)パスワードを送る、(A)暗号化(P)プロトコル」のそれぞれ頭一文字を取って名付けられた。ファイルを誤送信してもパスワードを送りさえしなければ情報漏洩の心配がない、導入も容易との考えから広まったが、実際には危険性のある手法ともいわれている。そしてこの仕組みを使い、再び猛威を奮っているEmotetのマルウェア被害増加に警鐘が鳴らされていることを知ってか知らずか、いまだに社内でPPAPが実施されていることに安心しきっている情シスがここにもひとりーーー
にのまえくん、ちょっとこっちに来たまえ。
なんですか、部長。(僕、なんかやらかしたかなぁ…。それにしても部長、いつもと違って妙に静かだぞ)
実はちょっとした事故が起こってね。営業部の人間が送り先を間違えて見積書を送ってしまったんだよ。
えっ、でもうちのルールでは万が一の誤送信に備えて、ファイルを暗号化して送ることになってますよね。
それなんだがね、ほら、あとからパスワードを送るだろ、それも同じ宛先に誤送信したらしいんだ。
なんですって!?それじゃ、暗号化しても意味ないじゃないですか、ファイルが簡単に開けてしまう…
そうだろ、わしも前々からこの方法はおかしいと思ってたんだ。本当に安全なのかってな。まあ、今回は誤送信先の担当者が親切な方で、すぐに知らせてくれたから大事には至らなかったが…。
それはよかった、不幸中の幸いですね。
なにをいっとるんだ、にのまえくん、ちっともよくないよ。
情報漏洩こそ免れたが、会社としては信用がた落ちだぞ、考えてもみろ、こんな単純なミスを犯す会社が信用できるか、ビジネスの相手として。
た、確かにそうですね。
今回は大目に見てもらえたかもしれないが、今後、このようなことが続いてはならん、そこでだ、にのまえくん。
は、はい(う、これは仕事発生の予感だぞ)
早急に、安全にファイル共有できる対策を実施してくれたまえ。「早急に」だぞ、いいな。もし間に合わずに同じ失敗が繰り返されたら…そのときはわかってるな。
(アワワワ、まずい部長の目が据わってるぞ、これは本気だ)
は、はい、全力を尽くします!!
どうしよう、どうしたら誤送信をなくせる??全員で気を付けましょうじゃだめなのか?そうか、手動でやるからミスが起こるんだ、自動でやってくれるソフトがあれば…。
ーネットを必死に探索するにのまえ、添付ファイルを自動で暗号化してくれるソフトウェアを見つけたのだった。
これだ、添付ファイルを自動で暗号化、パスワードも自動送信してくれる、これなら誤送信がなくなって…。
おいおい、はじめ、それじゃ意味ないだろ、営業部の誤送信は暗号化しなかったから起こったんじゃない、パスワードの送信先まで誤送信したから起こったんだ。自動送信したって宛先が間違っていれば手動の誤送信と一緒じゃないか。いや、むしろ自動である方が危険だ!
あっ、言われてみれば…。えっ、Joshisumanさん!いつの間に!?
ふっ、ちょっとテレワーク疲れでね、その辺を散歩でもしようかと思って…。
散歩って、ここは僕のオフィスだぞ。いったいどこを散歩してるんだ、この人は
はじめ、慌てて製品を選ぶ前に、まずは脱PPAPについて知ることが必要なんじゃないか。
脱PPAP?いったいそれは何者ですか???
そもそもPPAPとは
ファイルをZIP形式で暗号化してメールに添付、その後パスワードを別メールとして送ることをPPAPという。
P(パスワード付きZIPファイルを送付)・P(パスワードを送付)・A(暗号化)・P(プロトコル:手順)の頭文字を取ってPPAPとなる。
PPAPのメリット・デメリット
日本で広く一般的に利用されているPPAPについて、そのメリットとデメリットを以下に挙げよう。
メリット
- メールが盗聴されても、暗号化されているため通常操作では中身を見られない。
- ファイル添付したメールとパスワードを二段階で送るので、後からパスワードを送る際に送信先の間違いに気づけば、一通目を誤送信したとしても添付ファイルを見られることはない。
- 新しいソフトを導入する必要もなく、比較的容易に運用を開始できる。
デメリット
- ファイルがZipで暗号化されているとセキュリティ製品が中身にマルウェアが仕込まれているかどうか 検査できない場合がある。
- 送信側、受信側ともに運用負荷がかかる。別送されるのでパスワードが行方不明になることも。
- パスワード付きZipファイルを悪用した攻撃が世界的に広まっている。
- パスワード付きZipファイルの暗号化の強度は十分とはいえない。添付ファイルとパスワードが同じ通 信経路 (メール) で送られるため、 ハッカーは2通とも中身を盗み見できる可能性が高くなる。
- Zipファイルはモバイルデバイスで開封できない。
いままで何の疑問も持たずにやってましたけど、この方法ってけっこうデメリットがあるんですね。
そうだな、だからこそ今、脱PPAPが唱えられているんだ。
今なぜ脱PPAPが推奨されているのか?
デメリットで上げたように、PPAPはセキュリティ対策としては、抜け穴が多い。
さらに2020年に、デジタル改革担当大臣が内閣府と内閣官房で採用していた自動暗号化ZIPファイルを廃止することを発表したのをターニングポイントとして、脱PPAPの風潮が大きく広まったと言える。
そして、働き方の多様化により社外でのモバイルデバイスの利用も増えているが、Zipファイルはモバイルデバイスでは閲覧できず、またZipファイルを悪用した攻撃の蔓延など、PPAPはもはや時代に即したセキュリティ対策とは言えないのである。
調査
- 安全性の高いファイル共有を実現したい。
- 安心安全でありながら、手間をかけずに運用したい。
- 誤送信を防止する仕組みも導入したい。
脱PPAPの方法とは?
暗号化したりパスワードをかけたりせずに添付ファイルを送信するという方法なら運用は簡単だが、これは盗聴のリスクを考えれば論外である。
盗聴防止にやりとりを暗号化してくれるチャットツール等を使えば盗聴の危険性は減るかもしれないが、誤送信のリスクは残るだろう。
セキュアなファイル共有を行うには、ファイルとパスワードが違う経路を通ること、受信先のセキュリティ製品でファイルのウイルススキャンができるようにすること、許可されている人間のみが閲覧できるような仕組みを導入すること、また宛先のアドレスを間違えて送信してしまった場合に、送信後でも添付ファイルの閲覧が出来ないようにすることなどが必要だと言える。
また運用の手間をかけないために、それら一連の手順が自動化されていることが望ましいだろう。テレワークが常態化している会社も増えている現在、外部からのアクセスの容易さも考慮すれば、前述の機能を有したクラウドサービスを利用することがベストな選択と言える。
昨今の事情を考えるとやはりクラウドサービスの利用がよさそうですね。
うむ、ではファイル共有について安心安全に行う方法をもう少し考えてみようか。
安心安全なファイル共有をするには?
安全で、且つ運用の手間を省くには、送信者は単にメールにファイルを添付し普段通り送信するのみ、システムが添付ファイルを引きはがしURLに自動変換してくれるといったサービスを選択すればよいだろう。
受信者側でダウンロードできるのは、TO/CCに入っている人のみと限定されていれば安全性をより確保できる。第三者にファイルを閲覧されないようにする為、メールアドレスで本人性確認をとった後、二段階認証で送られてきたパスコードを入力することによってファイルをダウンロードできるようになる仕組みがおすすめだ。
さらには送付すべきファイルを間違えた場合などの状況で、送付後にURLを無効化できれば安心だろう。加えて未然に誤送信を防止する機能などもあれば万全といえる。
わかりました。でもそれらの機能を持っているおすすめのサービスってあるんですか?
そうだな!私のおすすめサービスはこれだ!
脱PPAPにおすすめなサービス「HENNGE One」とは
HENNGE Oneには、各クラウドサービスへのシングルサインオンとアクセス制御をおこなうHENNGE IDP Editionとクラウドメールに対する脱PPAP対策・メール監査・標的?型攻撃対策を提供するHENNGE E-Mail Security Editionをオールインワンで提供するセキュリティサービスである。
特にHENNGE E-Mail Security Editionは、Microsoft365(Exchange Online)やGoogle Workspase(Gmail)と連携し、脱PPAP対策・メール監査・標的型攻撃対策を実現するメールセキュリティの総合ソリューションと言えるだろう。
HENNGE E-Mail Security Editionには3つのプランがあり、メールセキュリティの要件に合わせて選択することが可能だ。
HENNGE Cloud Protection
未知なマルウェアへの対策や受信した添付ファイルのウイルスチェックなどの機能があり、Microsoft365(Exchange Online)をより安全に利用したいユーザー向けのプラン。
HENNGE Email DLP
添付ファイルの自動URL・暗号化機能、大容量ファイル受け渡し用のストレージ機能、ユーザー・ドメイン単位でのフィルタ、予め定義された指定禁止ワードの検知による送信停止や削除機能などにより、ファイル受け渡しの安全性を高めつつ、誤送信を減らしたいユーザー向けのプラン。
また、Secure Download機能で脱PPAPも可能に。
HENNGE ARC
10年間・容量無制限でメールを保管(退職者含めてアーカイブ保存も)。添付ファイル内も含めたテキスト検索機能やアクセスログ・操作ログの確認もできる、メール保存・管理をしっかり行いたいユーザー向けのプラン。
HENNGE E-Mail Security Editionを使った添付ファイル送受信の仕組み
- ファイルをメールに添付して送ると、添付ファイルは自動的にクラウドストレージ上で一時保管され、受信者には本文とダウンロードURLが届きます。
- 受信者がURLをクリックすると認証画面が表示され、メールアドレスが自身のものだと確認できればOKボタンを押します。
- その後で受信者に認証コードが届き、入力するとファイルがダウンロードできます。
もちろんスマートフォンなどでも閲覧が可能です。
HENNGEから送ると受信者がその添付ファイルを見た日時が送信者にも分かるようになるため、資料送信後、相手がダウンロードした後に補足説明の連絡を入れるといった使い方をしている人もいるようだ。
それに万が一宛先のアドレスを間違えたとしても、添付ファイルのURLを無効化出来るので重要情報を見られるのを防げる。
欲しい機能がすべて揃っていますね。安心安全にファイル共有できることはもちろん、あとからURLを無効化したり、フィルタリングや承認機能なども備えているんですね。送信者側はただファイルを添付して普通にメールを送るだけだから手間もかからないし。これなら、誤送信や情報漏洩にも無理なく対応できそうです。
ハハハッ、はじめ、今回もこれで万全だな。今回は脱PPAP目線でHENNGE E-Mail Security Editionを語ったが、HENNGE ONEには各種クラウドサービスへのシングルサインオンとセキュアなアクセスを実現するHENNGE IDP Editionもある。いずれそれについても語ってやろう。
それじゃ、また会おう!さらばだ!
解決
日本では官民問わず広く普及していたPPAPだが、現在ではその安全性、効率性が疑問視されている。デジタル改革担当大臣の廃止発言等もあり、脱PPAPの風潮が広まりつつあるのが現状だ。PPAPに代わる仕組みとしては、クラウドサービスを利用した安心安全かつ効率的なファイル共有方法がある。「HENNGE E-Mail Security Edition」を導入すれば、脱PPAP対策を安心安全、かつ簡単に実現することが可能となるだろう。
「―HENNGE E-Mail Security Edition ―」
- メールの添付ファイルを自動的にURL化し安心安全にファイル共有することが可能
- TO/CCに入っている人のみがダウンロード可能
- 送付ファイルを間違えたときなどに、送付後にURLを無効化することができる
- 受信者側はメールアドレス認証によりパスコードを取得、パスコード入力によってファイルをダウンロードできるようになる安全な仕組み
- 添付ファイルがある場合は注意喚起するなど、フィルタリングをかけることが可能、また送信保留や上長承認機能など誤送信を防止する機能も多数ついている
本記事の著者
情シスマン
本メディアの主人公。職業はヒーローで、趣味はトラフィック監視。様々な武器を駆使して情シスにまつわる問題や悩みを解決している。ITをよく知らないのに、情シス担当になってしまった人の味方です。いや、正義の味方じゃなく、正義そのもの。困っている人がいたら、助けたいお人よし。
