ページの本文へ

Hitachi
  • 2022.10.01
  • 2024.10.01
  • 秘密分散 フォー メール

PPAPの代替案を比較!脱PPAPでセキュリティを強化しよう

秘密分散 フォー メール

PPAPの代替案は複数あります。自社にマッチした方法を選ぶことで、セキュリティ対策を強化できるでしょう。この記事では、PPAPの代替案を5つ紹介します。代替案を導入する際の注意点も解説するので、ぜひ最後までご覧ください。

※本記事に掲載している情報は2024年9月時点のものです。

秘密分散 フォー メール

カンタン・便利なのに高いセキュリティ
Outlookメールでの情報漏えいリスクを防ぎます。

PPAP問題とは?

PPAP問題とは、セキュリティ対策としてのPPAPに欠陥があることを表現する言葉です。そもそもPPAPとは、パスワード付きZIPファイルとパスワード用のメールを別々に送信する方法を指します。

  • Password:パスワード付きZIPファイル
  • Password:パスワードを記載したメール
  • Angou:ファイルの暗号化
  • Protocol:プロトコル

パスワードを設定してZIPファイルを暗号化することで、ファイルの中身を見られないようにします。簡単にできるセキュリティ対策として、官公庁や大企業にも定着しました。

一見するとPPAPは強固なセキュリティ対策のように思えるでしょう。しかし複数のリスクがあるため、禁止にする企業が増えているのです。

PPAPを禁止する企業が増えている理由

PPAPを禁止する企業が増えている理由は以下の5つです。

  • マルウェア感染のリスク
  • メールを盗聴されるリスク
  • パスワードの強度が低い
  • セキュリティチェックをすり抜ける可能性
  • 送受信時の手間

PPAPは、パスワードがなければファイルを開けません。パスワードさえ流出しなければ、セキュリティ強度が高いと思われやすいです。

しかしウイルスに感染するリスクなどがあるため、万全のセキュリティ対策とはいえないことを理解しましょう。

マルウェア感染のリスク

PPAPはマルウェアに感染するリスクがあるため、PPAPを禁止する企業が増えています。Emotet(エモテット)と呼ばれるマルウェアの被害が世界中で発生しており、万が一マルウェアに感染すると、以下のような被害が想定されます。

  • 情報流出
  • 情報抜き取り
  • 情報改ざん
  • デバイスロック
  • デバイス乗っ取り

セキュリティソフトは、暗号化されているパスワード付きZIPファイルの中身まではチェックできません。ファイル内部にマルウェアが仕込まれていることを知らずに開封すれば、PCが汚染されてしまいます。

マルウェアに感染すると、自社だけでなく外部にも被害が広まるため、PPAPを禁止する動きが加速しているのです。

メールを盗聴されるリスク

PPAPには、メールを盗聴されるリスクがあります。パスワード付きZIPファイルとパスワードを記載したメールの通信経路が同様なため、経路を特定されればメールを分けてもセキュリティ対策にはなりません。

同じメールアドレスから送信されているのもPPAPの難点です。送信者が標的にされれば、簡単にメールを盗聴されてしまう恐れがあります。

パスワードの強度が低い

パスワードの強度が高くないため、PPAPを禁止にする企業が増えています。量子コンピューターなどの開発が進んでおり、暗号を解読される可能性があるのです。

一般的なPCで暗号を解読するのは困難でしょう。しかし将来的には技術の発展に伴い、暗号化すれば安心とはいえない未来が予想されます。PPAPに限らず、暗号化に頼らないセキュリティ対策の開発や導入が急がれます。

セキュリティチェックをすり抜ける可能性

PPAPはセキュリティチェックをすり抜ける可能性があります。セキュリティソフトを導入していても、ウイルスに感染するリスクがあるのです。

マルウェアの感染リスクでもご紹介しましたが、ファイル内部にウイルスを仕込まれてしまうと、セキュリティチェックで検知できません。パスワード付きZIPファイルはウイルスの温床となる危険性があります。

送受信時の手間

PPAPはメール送受信時に手間がかかります。ファイルを添付したメールのほか、パスワード用のメールを送受信する必要があるからです。

特にメール受信者側の負担が大きくなります。送信者側がパスワードを記載したメールを送り忘れると、いつまで経ってもファイルを開封できません。催促の連絡を入れなければならず、業務効率が悪化します。

手軽にできるセキュリティ対策としてPPAPが定着していますが、ヒューマンエラー対策としては不安が残ります。

セキュリティ対策の強度を高めるだけでなく、業務効率を上げるためにもPPAPに代わるソリューションの導入を検討してみてはいかがでしょうか。

日本におけるPPAP廃止の動向

PPAPは、すでに多くの企業で廃止の動きが進んでいます。日本でPPAP廃止が強まったのは、2020年11月に当時のデジタル担当相であった平井卓也デジタル改革担当大臣が、政府機関におけるPPAPの廃止を表明したことがきっかけでした。

また、PPAPはセキュリティの面で不安が残るだけでなく、受け取り側の利便性の観点から適切ではないということもPPAP廃止が発表された要因です。

この発表を受け、国内企業では次々とPPAPの廃止が進んでいます。

PPAPに対する日立グループの対応

PPAP問題への企業の対応として、日立グループの事例をご紹介します。

2021年10月8日、株式会社日立製作所は日立グループでのPPAP利用廃止を発表しました。暗号方式でセキュリティを担保できるものではないこと、マルウェアが広まっていることをおもな理由としています。

パスワード付きZIPファイルが添付されたメールは、日立グループで送受信されないような設定を行い、セキュリティ強度の高い代替案を導入することで、取引先や顧客のセキュリティを確保しています。

PPAPを廃止するのが難しい理由

PPAPは廃止の兆候が強まっていますが、依然としてPPAPを継続運用しているケースも見られます。PPAPの廃止が進まない理由としては、以下の3つが挙げられます。

PPAP廃止に労力がかかる

政府がPPAP廃止を宣言したことで、セキュリティ対策としても問題があることを認識しているが、廃止には労力がかかるため対応が遅れている場合があるでしょう。

特に、組織の規則を変更することに労力を割ける時間がなかったり、ずっとPPAPを使ってきたからなどの理由で規則を変更しにくい場合があります。

ただ、これまでと同じようにPPAPを続けることで社外からの信用を失う可能性があることを把握し、リスクに気づいたメンバーからPPAPの廃止を訴えていくことが重要です。

取引先企業の都合に合わせる必要がある

自社ではメールやPPAPを廃止する意向を選択しても、取引先がPPAPの使用を選択している場合は、部分的にPPAPを行う必要があります。

PPAPの廃止を取引先に強制することは現実的に難しいかもしれません。そのため、相手に合わせてPPAPを継続する必要があり、業務上のセキュリティリスクや負担が残り続けている会社も多いと考えられます。

ただし、PPAPの廃止に向けて自社でできることは最大限取り組み、いつでもPPAPをすぐにやめられる体制を整えておくことが重要です。

メールアーカイブが使えなくなる

メールアーカイブを使えなくなることを嫌って、PPAPを使い続けている企業もあります。これまでのコミュニケーションログをメールに依存している場合、それを丸ごと別のサービスに移行するのは膨大な負担がかかります。

このような負担の発生を回避することは難しいため、PPAPの廃止に際してログ環境の刷新も必要になるでしょう。

メールアーカイブは記録として残しておき、新しいコミュニケーションツール上でのやり取りを仕組みとして導入することが重要です。

PPAPの代替案を比較

PPAPの代替案は以下の5つです。それぞれの特徴を比較し、自社に合った代替案を導入しましょう。

  • クラウドサービス
  • ファイル転送サービス
  • S/MIME
  • チャットツール
  • 秘密分散技術の導入

クラウドサービス

クラウドサービスとは、インターネット上でファイルを管理できるサービスです。クラウドサービス自体にセキュリティ対策が施されているため、安心して利用できます。

代表的なクラウドサービスは以下の2つです。

      Googleドライブ
      Microsoft 365

Googleドライブ

Googleドライブは、Google社が提供するクラウドサービスです。専用のリンクを介してファイルを共有します。

ファイルへのアクセス権を制限できるのが魅力です。「制限付き」に設定すれば、特定の相手にしか共有されません。万が一専用のリンクが知られても、ファイルへのアクセスを防げることが可能です。

Microsoft 365

Microsoft 365では、OneDrive for Businessと呼ばれるクラウドサービスを活用します。

Outlookでファイルを送信する際は、直接添付せずにOneDrive for Businessへアップロードします。メールではファイルにアクセスするリンクのみ送信します。PPAPに似ていますが、メールにファイルを添付しない点が大きく異なります。

ファイル転送サービス

ファイル転送サービスとは、インターネット上でファイルの送受信ができるサービスです。サービスによって以下のようなセキュリティ対策が実装されています。

  1. 二段階認証
  2. IPアドレス制限
  3. デバイス制限

同時に複数のセキュリティ対策を施せるため、安心してファイルを送受信できるでしょう。

S/MIME

S/MIMEとは、電子証明書を用いてメールの暗号化と電子署名を行う暗号化方式です。PPAPと同じ暗号化によるセキュリティ対策ですが、S/MIMEでは以下を証明できます。なりすましを防止できるのが特徴です。

  1. メール送信者本人の情報
  2. メール作成日時

万が一メールの内容が改ざんされれば、セキュリティ警告が通知されます。外部からの攻撃に強く対応できるのがS/MIMEの大きな魅力です。

チャットツール

チャットツールでファイルを送受信するのもおすすめです。通信を暗号化するなど、ツールそのものにセキュリティ対策が施されています。

メールのように宛先を間違えにくいのが特徴です。送信の取り消しもできるため、誤送信対策にもなるでしょう。

ビジネス用のチャットツールも多く提供されています。導入コストもそれほど高くなく、直感的に操作を行えるのがメリットです。

秘密分散技術の導入

秘密分散技術とは、単独では意味を持たないデータを複数に分けて管理することで、一部の情報が盗まれても復元できないようにする技術です。一部の情報だけでは意味を持ちません。すべての情報が集まらなければ、元の情報を復元できないのが強みです。

暗号化だけでセキュリティを担保するのは困難です。情報を無意味化したうえで分散管理する技術なら、高いレベルのセキュリティを実現できます。

リスクのあるPPAPの代替案

PPAPの代替案にはいずれも有効なものが揃っていますが、一部のアプローチについて、場合によっては十分な対策効果が得られない懸念もあります。

例えばファイル共有サービスの利用です。これは共有したいファイルをウェブサービス上にアップロードし、共有相手にダウンロードリンクを送信することにより、ファイルの共有を実現する手法です。

ファイル共有サービスの使用は、業務効率化の面では効果的な面もあります。しかしダウンロードリンクをメールなどで共有する場合は、メールが盗聴されていると、第三者に内容が明らかになってしまいます。

あくまで効率化のための方法として使用し、セキュリティ対策としては別の施策を導入することが重要です。

PPAP代替案を導入する際の注意点

PPAP代替案を導入する際は、以下の2つを意識しましょう。スムーズに導入するためのポイントです。

  • 社員への周知徹底
  • 導入コスト

社員への周知徹底

PPAPの代替案導入時は社員へ周知徹底しましょう。1人でも状況を把握していない社員がいると、セキュリティ面で不安が残ります。

まずはPPAPのリスクについて伝えるのが大切です。慣れ親しんだ方法を変えることに抵抗感を覚える人がいるかもしれません。PPAPが持つリスクを丁寧に説明し、代替案に切り替える理解を得ましょう。

社員一人ひとりの意識が高まれば、会社としてのセキュリティレベルが高まります。ヒューマンエラーの防止にも役立つでしょう。

導入コスト

PPAP代替案の導入コストを比較しましょう。代替案によっては、大きなコストを必要とするものもあります。

ただし、コストだけで代替案を決めるのは避けましょう。高いレベルでセキュリティ対策を施すのが目的です。PPAPを禁止して何かしらの代替案を導入すれば、セキュリティ対策として万全ではありません。

各代替案の特徴やコストを総合的に判断し、自社に合った方法でセキュリティ対策を行いましょう。

取引先企業への周知

PPAPの廃止に伴い、取引先企業にもその旨を周知しましょう。ファイル共有の方法が変わるとなると、相手側で混乱を招く恐れがあるからです。

特にITに慣れていない企業の場合、いきなりPPAPを廃止してしまうと取引先企業の生産性に悪影響を及ぼす恐れがあります。

今後どのような方法でファイルを共有するのか、代替案を採用したことでどんなメリットがあるのか、具体的にどうやってその方法でやり取りするのか、丁寧に周知することが理想です。

秘密分散 フォー メールで安全なメールの送受信

PPAPの代替案として秘密分散技術を活用したソリューションをご紹介します。日立システムズエンジニアリングサービスが提供する「秘密分散 フォー メール」です。通信経路の安全確保を始め、PPAPが持つリスクに対応可能なソリューションとなっています。

秘密分散技術に独自の分散補完技術を組み合わせました。暗号化では実現できないレベルのセキュリティ強度と、他の代替案と比べてメール送信までの業務をメーラー上で完結させる便利さを兼ね備えています。

設計や構築など複雑な設定は不要で、Outlookにアドインするだけで簡単に利用できます。相手側はOutlook以外でも受信できるのが特徴です。

まとめ

本記事では、PPAPの危険性やそれに対する政府・企業の対応、PPAPの代替案までご紹介しました。

PPAPはマルウェア感染などさまざまなリスクがあるため、禁止にする企業が増えています。現状PPAPを使用していて問題がない場合でも、将来的には不安が残ります。PPAPの代替案を導入し、会社のセキュリティレベルを高めましょう。

代替案を導入する際は、自社のセキュリティレベルを強化できるかを第一に、スペックやコストなどを総合的に判断するのがポイントです。自社に合った方法でセキュリティ対策を施しましょう。

※本記事における価格情報記載はすべて税抜表記です。
※Microsoft、Windows、Windows 10およびMicrosoftのロゴは、米国およびその他の国におけるMicrosoft Corporationの登録商標または商標です。
※その他、記載されている会社名、製品名は、各社の登録商標または商標です。

秘密分散 フォー メール

カンタン・便利なのに高いセキュリティ
Outlookメールでの情報漏えいリスクを防ぎます。