秘密分散 フォー メール
PPAPの代替案は複数あります。自社にマッチした方法を選ぶことで、セキュリティ対策を強化できるでしょう。この記事では、PPAPの代替案を5つ紹介します。代替案を導入する際の注意点も解説するので、ぜひ最後までご覧ください。
※本記事に掲載している情報は2022年9月時点のものです。
目次
秘密分散 フォー メール
カンタン・便利なのに高いセキュリティ
Outlookメールでの情報漏えいリスクを防ぎます。
PPAP問題とは、セキュリティ対策としてのPPAPに欠陥があることを表現する言葉です。そもそもPPAPとは、パスワード付きZIPファイルとパスワード用のメールを別々に送信する方法を指します。
パスワードを設定してZIPファイルを暗号化することで、ファイルの中身を見られないようにします。簡単にできるセキュリティ対策として、官公庁や大企業にも定着しました。
一見するとPPAPは強固なセキュリティ対策のように思えるでしょう。しかし複数のリスクがあるため、禁止にする企業が増えているのです。
PPAPを禁止する企業が増えている理由は以下の5つです。
PPAPは、パスワードがなければファイルを開けません。パスワードさえ流出しなければ、セキュリティ強度が高いと思われやすいです。
しかしウイルスに感染するリスクなどがあるため、万全のセキュリティ対策とはいえないことを理解しましょう。
PPAPはマルウェアに感染するリスクがあるため、PPAPを禁止する企業が増えています。Emotet(エモテット)と呼ばれるマルウェアの被害が世界中で発生しており、万が一マルウェアに感染すると、以下のような被害が想定されます。
セキュリティソフトは、暗号化されているパスワード付きZIPファイルの中身まではチェックできません。ファイル内部にマルウェアが仕込まれていることを知らずに開封すれば、PCが汚染されてしまいます。
マルウェアに感染すると、自社だけでなく外部にも被害が広まるため、PPAPを禁止する動きが加速しているのです。
PPAPには、メールを盗聴されるリスクがあります。パスワード付きZIPファイルとパスワードを記載したメールの通信経路が同様なため、経路を特定されればメールを分けてもセキュリティ対策にはなりません。
同じメールアドレスから送信されているのもPPAPの難点です。送信者が標的にされれば、簡単にメールを盗聴されてしまう恐れがあります。
パスワードの強度が高くないため、PPAPを禁止にする企業が増えています。量子コンピューターなどの開発が進んでおり、暗号を解読される可能性があるのです。
一般的なPCで暗号を解読するのは困難でしょう。しかし将来的には技術の発展に伴い、暗号化すれば安心とはいえない未来が予想されます。PPAPに限らず、暗号化に頼らないセキュリティ対策の開発や導入が急がれます。
PPAPはセキュリティチェックをすり抜ける可能性があります。セキュリティソフトを導入していても、ウイルスに感染するリスクがあるのです。
マルウェアの感染リスクでもご紹介しましたが、ファイル内部にウイルスを仕込まれてしまうと、セキュリティチェックで検知できません。パスワード付きZIPファイルはウイルスの温床となる危険性があります。
PPAPはメール送受信時に手間がかかります。ファイルを添付したメールのほか、パスワード用のメールを送受信する必要があるからです。
特にメール受信者側の負担が大きくなります。送信者側がパスワードを記載したメールを送り忘れると、いつまで経ってもファイルを開封できません。催促の連絡を入れなければならず、業務効率が悪化します。
手軽にできるセキュリティ対策としてPPAPが定着していますが、ヒューマンエラー対策としては不安が残ります。
セキュリティ対策の強度を高めるだけでなく、業務効率を上げるためにもPPAPに代わるソリューションの導入を検討してみてはいかがでしょうか。
PPAP問題への企業の対応として、日立グループの事例をご紹介します。
2021年10月8日、株式会社日立製作所は日立グループでのPPAP利用廃止を発表しました。暗号方式でセキュリティを担保できるものではないこと、マルウェアが広まっていることをおもな理由としています。
パスワード付きZIPファイルが添付されたメールは、日立グループで送受信されないような設定を行い、セキュリティ強度の高い代替案を導入することで、取引先や顧客のセキュリティを確保しています。
PPAPの代替案は以下の5つです。それぞれの特徴を比較し、自社に合った代替案を導入しましょう。
クラウドサービスとは、インターネット上でファイルを管理できるサービスです。クラウドサービス自体にセキュリティ対策が施されているため、安心して利用できます。
代表的なクラウドサービスは以下の2つです。
Googleドライブは、Google社が提供するクラウドサービスです。専用のリンクを介してファイルを共有します。
ファイルへのアクセス権を制限できるのが魅力です。「制限付き」に設定すれば、特定の相手にしか共有されません。万が一専用のリンクが知られても、ファイルへのアクセスを防げることが可能です。
Microsoft 365では、OneDrive for Businessと呼ばれるクラウドサービスを活用します。
Outlookでファイルを送信する際は、直接添付せずにOneDrive for Businessへアップロードします。メールではファイルにアクセスするリンクのみ送信します。PPAPに似ていますが、メールにファイルを添付しない点が大きく異なります。
ファイル転送サービスとは、インターネット上でファイルの送受信ができるサービスです。サービスによって以下のようなセキュリティ対策が実装されています。
同時に複数のセキュリティ対策を施せるため、安心してファイルを送受信できるでしょう。
S/MIMEとは、電子証明書を用いてメールの暗号化と電子署名を行う暗号化方式です。PPAPと同じ暗号化によるセキュリティ対策ですが、S/MIMEでは以下を証明できます。なりすましを防止できるのが特徴です。
万が一メールの内容が改ざんされれば、セキュリティ警告が通知されます。外部からの攻撃に強く対応できるのがS/MIMEの大きな魅力です。
チャットツールでファイルを送受信するのもおすすめです。通信を暗号化するなど、ツールそのものにセキュリティ対策が施されています。
メールのように宛先を間違えにくいのが特徴です。送信の取り消しもできるため、誤送信対策にもなるでしょう。
ビジネス用のチャットツールも多く提供されています。導入コストもそれほど高くなく、直感的に操作を行えるのがメリットです。
秘密分散技術とは、単独では意味を持たないデータを複数に分けて管理することで、一部の情報が盗まれても復元できないようにする技術です。一部の情報だけでは意味を持ちません。すべての情報が集まらなければ、元の情報を復元できないのが強みです。
暗号化だけでセキュリティを担保するのは困難です。情報を無意味化したうえで分散管理する技術なら、高いレベルのセキュリティを実現できます。
PPAP代替案を導入する際は、以下の2つを意識しましょう。スムーズに導入するためのポイントです。
PPAPの代替案導入時は社員へ周知徹底しましょう。1人でも状況を把握していない社員がいると、セキュリティ面で不安が残ります。
まずはPPAPのリスクについて伝えるのが大切です。慣れ親しんだ方法を変えることに抵抗感を覚える人がいるかもしれません。PPAPが持つリスクを丁寧に説明し、代替案に切り替える理解を得ましょう。
社員一人ひとりの意識が高まれば、会社としてのセキュリティレベルが高まります。ヒューマンエラーの防止にも役立つでしょう。
PPAP代替案の導入コストを比較しましょう。代替案によっては、大きなコストを必要とするものもあります。
ただし、コストだけで代替案を決めるのは避けましょう。高いレベルでセキュリティ対策を施すのが目的です。PPAPを禁止して何かしらの代替案を導入すれば、セキュリティ対策として万全ではありません。
各代替案の特徴やコストを総合的に判断し、自社に合った方法でセキュリティ対策を行いましょう。
PPAPの代替案として秘密分散技術を活用したソリューションをご紹介します。日立システムズエンジニアリングサービスが提供する「秘密分散 フォー メール」です。通信経路の安全確保を始め、PPAPが持つリスクに対応可能なソリューションとなっています。
秘密分散技術に独自の分散補完技術を組み合わせました。暗号化では実現できないレベルのセキュリティ強度と、他の代替案と比べてメール送信までの作業をメーラー上で完結させる便利さを兼ね備えています。
設計や構築など複雑な設定は不要で、Outlookにアドインするだけで簡単に利用できます。相手側はOutlook以外でも受信できるのが特徴です。
本記事では、PPAPの危険性やそれに対する政府・企業の対応、PPAPの代替案までご紹介しました。
PPAPはマルウェア感染などさまざまなリスクがあるため、禁止にする企業が増えています。現状PPAPを使用していて問題がない場合でも、将来的には不安が残ります。PPAPの代替案を導入し、会社のセキュリティレベルを高めましょう。
代替案を導入する際は、自社のセキュリティレベルを強化できるかを第一に、スペックやコストなどを総合的に判断するのがポイントです。自社に合った方法でセキュリティ対策を施しましょう。
※本記事における価格情報記載はすべて税抜表記です。
※Microsoft、Windows、Windows 10およびMicrosoftのロゴは、米国およびその他の国におけるMicrosoft Corporationの登録商標または商標です。
※その他、記載されている会社名、製品名は、各社の登録商標または商標です。
※ZENMU Virtual Desktopは、株式会社ZenmuTechの製品です。
※株式会社日立システムズエンジニアリングサービスは、ZENMU Virtual Desktopの正規販売代理店です。
このコラムをシェアする
