秘密分散 フォー メール
パスワード付きZIPファイルをメールで送信後、パスワードを記載したメールを送信する方法のことを「PPAP」といいます。近年、「PPAP」は情報漏えいにつながる可能性があるとされ、問題視されています。この記事では、PPAPが持つ5つの危険性や効果的な代替案を紹介します。
※本記事に掲載している情報は2022年9月時点のものです。
目次
秘密分散 フォー メール
カンタン・便利なのに高いセキュリティ
Outlookメールでの情報漏えいリスクを防ぎます。
PPAPとは、パスワード付きのZIPファイルをメールで送信するやり方です。ZIPファイルを添付したメールとは別に、パスワードを記載したメールを送信します。
PPAPは以下の頭文字を取った言葉の略称です。
PPAPは2通に分けてメールを送信するのが特徴です。万が一ZIPファイルを誤送信しても、パスワードがわからなければ中身を見られません。手軽にできるセキュリティ対策として、多くの企業が利用しています。
PPAPには以下5つの危険性があります。
PPAPは、セキュリティ対策としての強度が高いとは言えません。ファイルとパスワードを別のメールで送信しても、送信経路が同じなので盗み見されやすいのがデメリットです。
PPAPの危険性を理解し、今後の対策に役立てましょう。
PPAPはマルウェアに感染する危険性があります。パスワード付きZIPファイルの中身が、マルウェアに感染している可能性があるからです。
マルウェアに感染すると、以下のような被害が想定されます。自社に限らず他社やお客さまにも迷惑をかけてしまう危険性もあります。
感染によりデバイスが乗っ取られ、操作できない状態になる可能性もあります。勝手にPCを操作されれば、外部への被害拡大も懸念されます。
PPAPは情報漏えいのリスクがあります。メールの宛先を間違えてしまうと、パスワード付きZIPファイルとパスワードを別々のメールで送信しても意味がありません。
普段どおりにメールを送信する場合でも、宛先を間違える可能性があります。簡単なタスクこそミスしがちです。また、メールの返信機能を使う際は、宛先のチェックを怠るケースも考えられます。
メールの送信はヒューマンエラーが起こりやすいものです。2通に分けてメールを送るのは理にかなっているように思えますが、宛先を間違えれば情報が漏れてしまいます。PPAPはヒューマンエラーに弱いのが難点です。
PPAPはウイルスチェックをすり抜ける可能性があります。マルウェアの感染リスクと似ており、暗号化されているパスワード付きZIPファイルの中身までは、ウイルスチェックができないからです。
ファイル内にウイルスが仕込まれている場合、受信者は安全なファイルかどうか判別できません。知らずにファイルを開封してしまうと、PC全体がウイルスに感染し、情報を盗まれる危険性があります。
PPAPの暗号強度はそれほど高くありません。量子コンピューターなどの開発が進んでおり、比較的簡単に解読される可能性があるからです。
PPAPに限らず、暗号化そのもののセキュリティ強度も万全とはいえないでしょう。高性能な機能を搭載したシステムがあれば、パスワードを解析されてしまいます。万全のセキュリティ対策ではないため、暗号化すればセキュリティ面で安心できるとは限りません。
PPAPにはパスワードを解読されやすい危険性があります。専用のプログラムで手当たり次第にパスワードを入力できるからです。
悪意のある第三者にファイルが渡ってしまうと、パスワード解読は時間の問題でしょう。ZIPファイルのパスワードは何度でも入力可能です。回数制限がないため、ロックが解除されるまでパスワードを入力されてしまいます。
ファイルにパスワードを付けているから安心とは限りません。ファイルそのものが流出してしまう危険性もあるため、PPAPは万全のセキュリティ対策とはいえないのです。
PPAPがセキュリティ対策として定着した理由は以下の3つです。セキュリティ対策に関する誤った認識が拡大したことで、PPAPが定着したと考えられます。
総務省が策定したガイドライン「地方公共団体における情報セキュリティポリシーに関するガイドライン」を誤解した企業が多いため、PPAPが定着したといわれています。
出典:総務省ホームページ(https://www.soumu.go.jp/denshijiti/jyouhou_policy/)
当該ガイドラインでは、一定の基準に該当する機密性を持つ情報資産を取り扱う場合、情報の送信時に暗号化することと明記されています。しかし、パスワードの取り扱いにおける以下の注意事項を読み落としているのが実態です。
上記注意事項が周知徹底されていないため、現状のPPAPが定着したと考えられます。
PPAPによる暗号化は比較的簡単です。楽にセキュリティ対策ができるため、PPAPが広まったと考えられます。
Windowsの場合、フリーソフトを使えば比較的簡単にZIPファイルを暗号化できます。Macの場合はZIPファイルの暗号化機能が標準搭載されています。いずれのOSも、一度やり方をマスターすれば簡単に暗号化できます。
PPAPは強度が低いものの、セキュリティ対策には変わりありません。簡単な作業でセキュリティ対策を施せるため、PPAPが定着したと考えられます。
プライバシーマークなど外部審査の影響により、PPAPが定着したといわれます。2005年に個人情報保護法が施行され、企業のセキュリティ対策が重要視されることになり、外部審査を受けている企業は、信頼性が高いものと見なされるようになりました。
個人情報や顧客データを管理していると対外的に証明するため、PPAPによるセキュリティ対策を実施する企業が増え、プライバシーマークを取得するには、PPAPを行えば問題ないという認識が広まったと考えられます。
PPAPを禁止した方がよい理由は、おもに以下の2つです。
PPAPはセキュリティ面に不安があります。マルウェアに感染してしまうリスクやウイルス対策ソフトをすり抜ける危険性があるからです。
メールの誤送信による情報漏えいリスクも考えられます。メールの送信は慣習的に行っているケースが多いものなので、メールの送信前に毎回宛先をチェックしなければ、誤送信に気づくことさえ困難でしょう。
PPAPにはさまざまなリスクが伴います。セキュリティ対策として万全ではないため、PPAPに代わるセキュリティソリューションの検討が推奨されています。
PPAPはメール送受信者ともに業務の手間を増やしてしまう懸念があります。送信者は、パスワード付きZIPファイルを送信するたびにパスワードを設定しなければなりません。
受信者は毎回2通のメールを受け取ることになります。送信者がパスワード記載のメールを送り忘れた場合は、いつまでもZIPファイルを開封できません。
PPAPによる業務効率の悪化を防ぐためにも、PPAPを禁止して、メールの送受信者ともに業務効率を上げましょう。
PPAPの代替案は以下の5つです。
代替案ごとに特徴や導入コストが異なります。自社に合った方法で、セキュリティ対策を強化しましょう。
クラウドサービスとは、インターネット上でファイルを保存・アップロード・ダウンロードできるサービスです。ファイルそのものにパスワードを設定する必要はありません。サービス利用者に権限を設定することで、ファイルへのアクセス権を制限できます。
クラウドサービスでは、ウイルスチェックが行われた状態のファイルを取り扱えます。通信そのものが暗号化されているため、ハッキングなどのリスクも最小限に抑えられるでしょう。
ファイル保存場所のリンクを共有すれば、簡単にアクセスできるのがメリットです。手間もかからないのがクラウドサービスの魅力といえます。
ファイル転送サービスとは、大容量のファイルをインターネット上で転送できるサービスです。クラウドサービスは情報の共有がメインであるのに対し、ファイル転送サービスはファイルの送付を中心に行います。
インターネットに接続していれば、簡単にファイルを送受信できるのがメリットです。
PPAPの代替案として、S/MIMEと呼ばれる暗号化方式も有効です。電子証明書を用いることで、以下2つを実現します。
電子署名とは、情報が改ざんされておらず、メール送信者本人が作成したことを証明するものです。ファイル作成の日時も記録されるため、なりすまし防止効果があります。第三者が改ざんしようとすると、セキュリティ警告が表示されるのもメリットです。
Outlookなど多くのメールソフトがS/MIMEに対応しています。手軽に導入できるのも魅力です。
チャットツールの活用もおすすめです。チャットツールそのものにセキュリティ対策が施されている場合も多いため、比較的安全にファイルを送信できます。
送信の取り消しや送信先を明確にしやすいのもメリットです。メールより誤送信のリスクを軽減できます。ヒューマンエラー対策としても有効です。
秘密分散技術とは、単独では意味を持たない複数のデータに分けて管理することで、一部の情報が漏れても元の情報を復元不可能にする技術です。
一部の情報だけでは意味を持ちません。情報そのものの意味をなくすことで、セキュリティ強度を高めているのが特徴です。
通信を暗号化するだけでは、セキュリティ対策として不十分な場合があります。将来的には量子コンピューターなどの技術発展により、簡単に解析される可能性があるからです。
秘密分散技術を用いたセキュリティ対策で、重要な情報を保護しましょう。
上述の秘密分散技術を活用したソリューションとして、日立システムズエンジニアリングサービスが提供する「秘密分散 フォー メール」を紹介します。Outlookにアドインするだけで、専用線に匹敵するレベルのセキュリティでファイルの送受信が可能です。
受信者がOutlook以外のメールソフトを利用していても問題ありません。ウイルスチェックが済んだファイルをクラウド上でダウンロードできるので、マルウェア対策にも効果的です。
添付ファイルだけでなくメール本文も秘密分散技術を用いて送信されるため、PPAP対策として有効なソリューションといえます。
秘密分散 フォー メールは、複数のクラウドで情報を保管するのが特徴です。メール送信経路を分断するため、万が一すべてのピースを特定しても元の情報は復元されません。複数あるPPAP代替案の良いところだけを凝縮したソリューションといえます。
PPAPとは、パスワード付きのZIPファイルとパスワードを記載したメールを別々に送信するやり方です。比較的簡単なセキュリティ対策として、多くの企業が導入しています。
パスワードを設定すればファイルを開封できないので安心、という考えが定着しています。しかしパスワード自体の強度は高くありません。ほかにもPPAPはマルウェアに感染するなど、さまざまなリスクがあります。
PPAPの代替案を導入して、自社のセキュリティレベルを高めましょう。インターネット上でファイルをやり取りするクラウドサービスや、電子証明書を用いるS/MIMEなどの代替案があります。
最大限セキュリティ強度を高めるなら、秘密分散 フォー メールの導入がおすすめです。一部の情報が漏れても元の情報を復元不可能にする秘密分散技術を採用しているため、安心してファイルをやり取りできます。
※本記事における価格情報記載はすべて税抜表記です。
※Microsoft、Windows、Windows 10およびMicrosoftのロゴは、米国およびその他の国におけるMicrosoft Corporationの登録商標または商標です。
※その他、記載されている会社名、製品名は、各社の登録商標または商標です。
※ZENMU Virtual Desktopは、株式会社ZenmuTechの製品です。
※株式会社日立システムズエンジニアリングサービスは、ZENMU Virtual Desktopの正規販売代理店です。
このコラムをシェアする
