秘密分散 フォー メール
セキュリティ対策として、PPAPの利用を禁止する企業が増えています。2020年に中央省庁もPPAPを全面廃止したため、今後もPPAP禁止の流れは加速するでしょう。この記事では、PPAPを禁止すべき理由と代替案を解説します。
※本記事に掲載している情報は2024年9月時点のものです。
目次
秘密分散 フォー メール
カンタン・便利なのに高いセキュリティ
Outlookメールでの情報漏えいリスクを防ぎます。
PPAPとは以下の頭文字を取った言葉で、パスワード付きZIPファイルとパスワード用のメールを別々に送信するセキュリティ対策です。
パスワードを設定してZIPファイルを暗号化することで、ファイルの中身を見られないようにします。簡単にできるセキュリティ対策として、官公庁や大企業にも定着しました。
PPAPが広く普及した理由としては、以前はメールが主な情報共有の手段であったことが一つに挙げられます。また、メールを使用する必要が大きいうえに代替手段がなく、なんらかの方法でセキュリティ対策をしなければならなかったことも普及の要因と考えられます。
また、ネットワークのセキュリティが必要であるとの認識が広まるなかで、メールの暗号化、パスワード設定などの技術が普及してきました。
さらに、組織内で情報セキュリティを管理する情報セキュリティマネジメントシステムという仕組みが作られ、その過程でPPAPが使用されたこともPPAP普及の要因だと考えられています。
PPAPを禁止すべき理由は以下の6つです。
PPAPはセキュリティ強度が高いとはいえません。セキュリティ対策としてPPAPが定着していますが、将来的には不安があるのでPPAPを利用するリスクを把握しておきましょう。
PPAPはマルウェアに感染する危険性があります。セキュリティソフトを導入していても、パスワード付きZIPファイルの中身まではチェックできないからです。
ファイルそのものに仕込まれているマルウェアを検知できず、開封してしまうことでマルウェアに感染する可能性があります。
PCがマルウェアに感染すると、以下のような被害が想定されます。
特にEmotet(エモテット)と呼ばれるマルウェアの被害が拡大しています。Emotetは情報の抜き取りなどの危険を伴うウイルスです。主な攻撃手法は、Emotetを仕込んだファイル(ワードやエクセルなど)を添付したメールを送信し、受信者がファイルを開封するとウイルスに感染してしまうというものです。
マルウェアに感染すれば、自社だけでなく顧客にも被害が拡大するでしょう。大切な情報を保護するためにも、PPAPに代わるセキュリティ対策を検討してみてはいかがでしょうか。
PPAPはウイルスチェックをすり抜ける可能性があります。マルウェアの感染リスクでもご紹介しましたが、セキュリティソフトは暗号化されているファイル内部のウイルスを検知できません。
PPAPによるファイルの送受信はウイルスがセキュリティソフトをすり抜け、気づかぬうちに感染してしまうリスクがあります。
PPAPはメールを盗聴されるリスクがあります。パスワード付きZIPファイルとパスワードを記載したメールが同じネットワークを通るからです。暗号化ファイルとパスワードを分けても、ネットワークが同じであれば両方のメールを盗聴される可能性があります。
ファイルを暗号化すると、パスワードがなければ開封できません。一見するとPPAPは理にかなっており、万全なセキュリティ対策のように思えます。
しかしファイルを暗号化すれば安心ではありません。同じネットワーク経由でパスワードも盗まれれば、ファイルは開封されてしまうのです。
PPAPは暗号化されたファイルとパスワードを分けて送信することで、メール誤送信対策にもなると考えられていました。
しかしヒューマンエラーが起き、宛先を間違えて送信してしまった場合、メールを2通に分けても意味がありません。
特に相手への返信機能を利用してメールを送信する際は要注意です。メールを送信する際に宛先を確認したつもりでも、うっかり間違えてしまう可能性が考えられます。
メールの送信取り消しは困難です。ファイルとパスワードの両方を誤送信したあとに気づいても手遅れになる可能性があります。ヒューマンエラーをゼロにするのは難しいため、PPAPではなく別のセキュリティ対策を施した方が安心です。
PPAPは情報漏えいの可能性があります。メールは複数のネットワークを経由して送受信されるからです。すべてのネットワークが暗号化されていなければ、ファイルにパスワードを設定してもセキュリティ強度を高めることはできますが、万全とはいえません。
セキュリティが弱い部分は攻撃の対象にされやすくなります。ネットワークをたどり、パスワードを記載したメールが盗聴される可能性もあるでしょう。
送信者側だけファイル暗号化すれば安全とはいえません。ネットワーク全体のセキュリティ強度を高めるのは困難なので、PPAPはリスクが大きいのです。
PPAPはメール送受信の手間がかかります。両者とも複数のメールをやり取りする必要があるからです。
ファイルの暗号化自体は簡単にできます。しかし、重要な情報を送るたびに暗号化したり複数のメールを送信したりするのは、業務効率が悪いものです。
メール受信側は、パスワードが記載されたメールがなければファイルを開封できません。送信者が送り忘れるなど、万が一メールが届かなければ業務に支障をきたしてしまう可能性があります。
PPAPの禁止は、企業に多くの面でメリットを与えてくれる取り組みです。主な利点は、以下の3つです。
PPAPを禁止することで、現場の生産性向上に貢献します。PPAPは一つの要件のために2通のメールを送る手法であるため、担当者の負担は小さくありません。
PPAPを廃止することで、単純にメール送受信の業務が半分になるため、生産性向上につながります。分割してメールを送らなくともセキュリティを確保できる仕組みを構築することで、より重要な業務に集中できるようになることがメリットといえるでしょう。
セキュリティを強化するうえでも、PPAPの禁止は役に立ちます。PPAPを実施することそのものがセキュリティリスクを伴います。
暗号化したファイルのパスワードをメールで送信するので、傍受された場合、内容は筒抜けです。また、メールを何通も送る手順を踏むことで、ヒューマンエラーのリスクを高め、大きなインシデントに発展する可能性もあります。
このようなリスクを回避するうえでは、PPAPの禁止が有効になります。
PPAPを禁止することは、取引先からの信頼を獲得するうえでも重要な意味を持ちます。現在もPPAPを継続していることで、デジタル化の遅れにつながっていると感じる取引先も一定数いると考えられます。
多くの企業ではすでにPPAPが廃止され、別の方法でファイル共有などが行われるようになっています。可能な限りPPAPを禁止し、工数のかからない情報の共有を行うことが取引先からの信頼獲得にもつながります。
PPAP問題に対する政府の対応をご紹介します。
2020年11月24日に平井卓也デジタル改革担当相が、内閣府と内閣官房でPPAPを全面廃止にすることを発表しました。外部へファイルを送信する際は、外部ストレージサービスを利用するとしています。
内閣府では、2011年ころからPPAPをセキュリティ対策として採用していましたが、セキュリティ強度や業務効率低下などを踏まえ、全面廃止に踏み切りました。
内閣府や内閣官房でPPAPを全面廃止すると、ほかの省庁や地方自治体にも同様の動きが出てくるでしょう。民間企業の脱PPAPを加速させることにもつながっています。
出典:内閣府ホームページ(https://www.cao.go.jp/minister/2009_t_hirai/kaiken/20201124kaiken.html)
PPAPの代替案として以下5つを紹介します。
ご紹介する5つはPPAPのように、ファイルそのものを暗号化する必要はありません。パスワードを記載したメールの送信も不要なので、セキュリティ対策および業務効率化の両方で活躍が期待されます。
それぞれの特徴を把握し、自社に合った方法を導入しましょう。
クラウドサービスとは、インターネット上でファイルを管理できるサービスです。ファイルの保存や編集・アップロード・ダウンロードが可能で、ビジネス用に展開されているサービスも多数あります。
その一種であるクラウドストレージは、PPAPに代わる方法として注目されています。暗号化されたクラウドストレージ上にファイルをアップロードしておけば、あらかじめ権限を付与されているユーザーが自由にファイルをダウンロードできます。
クラウドサービスの通信は暗号化されているのが特徴です。アクセス権の制限などの機能もあるため、しっかりとセキュリティ対策が施されています。
スマートフォンなど携帯端末からのアクセスも可能で、移動中など隙間時間を活用して業務を進められます。
ファイル転送サービスとは、インターネット上でデータファイルを送受信できるサービスです。画像やスプレッドシートなど、大容量のデータ転送に向いています。ビジネス向けに提供されているサービスが複数あるため、自社に合ったものを選びやすいでしょう。
サービスによって二段階認証やIPアドレス制限など、複数のセキュリティ対策が実装されています。ファイル単位で権限を設定できるサービスもあり、何重ものセキュリティ対策によって、安心してファイルを転送できるでしょう。
S/MIMEとは、電子証明書を用いてメールの暗号化および電子署名を行う暗号化方式です。二段階でセキュリティ対策を施すことで、安全にファイルをやり取りできます。
電子署名とは、メール送信者本人の情報やファイル作成日時を証明するものです。第三者が情報を改ざんしようとするとセキュリティ警告が表示されるため、なりすまし防止に役立ちます。
OutlookやGmailなどのメールソフトもS/MIMEに対応しています。比較的簡単に導入できるセキュリティ対策として注目されています。
PPAPの代替案として、チャットツールの活用もおすすめです。暗号化通信など、チャットツールそのものにセキュリティ対策が施されています。
ビジネス用のチャットツールも多く提供されています。操作性が良く、難しい設定もほとんどありません。
チャットツールは送信を取り消しやすいのが特徴です。ヒューマンエラーを最小限に抑えられます。送信先もわかりやすいため、誤送信を防ぐことにもつながります。
秘密分散技術とは、単独では意味を持たない複数のデータに分けて管理することで、一部の情報が漏れても復元不可能にする技術です。情報を無意味化することで、安全にメールを送受信できます。
一部の情報だけではなんの意味も持ちません。すべての情報が集まって初めて元の情報を復元できます。
ほかの代替案よりも、比較的高いセキュリティレベルでメールを送受信できます。秘密分散技術を用いたソリューションを導入し、大切な情報を保護しましょう。
社内でPPAPの禁止を決定したあとは、以下2つの対応を実施しましょう。脱PPAP後も円滑に業務を進めるためのポイントです。
PPAPを禁止して新しいセキュリティ対策へ移行するには時間がかかるでしょう。自社社員や取引先など、多くの人々がPPAPに慣れているからです。
しかしセキュリティ対策としてのリスクを考慮すると、可能な限り早めの対応が求められると考えられます。
PPAPを禁止するにあたって、まずは社員のITリテラシー向上を図ることが重要です。PPAPが禁止されつつある背景には何が考えられるか、どんな方法で情報共有をするのが安全なのか、についての理解を深めてもらい、適切な判断が行えるよう教育を進めることが情報漏えいなどの損失を防ぐことにつながります。
社員のITリテラシーが改善されることで、判断力の向上や、最新サービスを利用することへの抵抗感がなくなることにつながります。結果、インシデントリスクを小さくしたり、生産性を高めたりすることができるといえるでしょう。
会社全体のためにも、社員向けの研修を実施したり、セキュリティルールを見直したりして、ノウハウをアップデートすることが重要です。
PPAPを禁止するにあたって、取引先企業へ必ずPPAPの廃止と代替手段について事前に周知しましょう。ファイルや情報の共有方法が変わると、業務に支障をきたすケースも考えられます。取引先企業にもファイル共有方法を変更してもらう必要がありますが、PPAPが持つ危険性をきちんと伝えれば相手方も納得してくれるでしょう。
合わせて、脱PPAP後の代替案も共有しましょう。例えばクラウドサービスを利用するなら、相手方にもアクセス情報を伝えなければなりません。情報を伝達する際は業務に支障をきたさないよう余裕を持って情報を伝達するようにしましょう。
PPAPに代わるセキュリティ対策として、秘密分散技術を用いた「秘密分散 フォー メール」を提案します。日立システムズエンジニアリングサービスが提供するサービスで、秘密分散技術と独自の分散保管技術を合わせたソリューションです。
専用線レベルのセキュリティ対策を実現できます。データを分割し、物理的に異なるクラウドに分散して保管します。万が一すべての分散片が特定されても、元のデータは復元されません。
マルウェア対策も万全です。メール受信者は、クラウド上でウイルスチェック済みのファイルをダウンロードできます。PPAPのようにマルウェアがウイルスソフトをすり抜ける心配がないため、安心してファイルを開封できます。
本記事では、PPAPを禁止すべき理由、政府の対応についてご紹介しました。
PPAPはセキュリティ強度が高いとはいえません。マルウェア感染や情報漏えいのリスクがあるため、政府もPPAPを全面廃止しています。
PPAPの代替案として、クラウドサービスやファイル転送サービスなどの利用がおすすめです。業務を効率化しつつセキュリティ強度を高められます。
最大限セキュリティ強度を高めるなら、秘密分散 フォー メールの導入も検討してみてください。一部の情報が漏れても元の情報を復元不可能にする秘密分散技術を採用しているソリューションになります。
また他のサービスと比べて、メールを送信するまでの業務をすべてメーラー上で行うことが可能です。業務効率化と暗号化よりも高度なセキュリティ対策を実現できます。
※本記事における価格情報記載はすべて税抜表記です。
※Microsoft、Windows、Windows 10およびMicrosoftのロゴは、米国およびその他の国におけるMicrosoft Corporationの登録商標または商標です。
※その他、記載されている会社名、製品名は、各社の登録商標または商標です。