2020年11月24日、平井卓也デジタル改革担当大臣が記者会見で、11月26日から内閣府、内閣官房で「PPAP」を廃止する方針を発表しました。これまで政府が実践し、それに倣って多くの企業で取り入れられていたセキュリティ対策が、なぜ廃止されることになったのでしょうか。PPAPに代わる今後のセキュリティ対策には何が求められるのかについてもあわせて解説します。
PPAPとは
「PPAP」とは、2011年頃から政府や日本の多くの企業で実践されてきた、eメールでファイルを送受信する際のセキュリティ対策方法を表す略語です。その対策の手順は、ファイルをZip形式で圧縮し、暗号化してパスワードをかけたうえでメールに添付、送信し、それとは別のメールでパスワードを送信するというものです。悪意のある第三者による閲覧を防止する考え方に基づいています。
しかしこの対策、実は期待されるセキュリティ対策としての効果は得られず、逆にセキュリティリスクになってしまっているなど、問題が指摘され続けています。問題が多いこのセキュリティ対策の危険性を周知させるために、情報技術の専門家が当時流行っていたことを引用し「PPAP」と呼んで揶揄しました。PPAPは、この対策を端的に説明する以下の言葉の頭文字をとったものです。
- 「P」assword付きZip暗号化ファイルを送ります
- 「P」asswordを送ります
- 「A」ん号化(暗号化)します
- 「P」rotocol(プロトコル=手順)
やや強引な部分はありますが、一世を風靡したPPAPと相まって、いい得て妙であるこの呼び名が広く定着しています。
内閣府でPPAPでのメールファイル送信廃止が発表される
前述しましたが、2020年11月24日に平井デジタル改革担当大臣が記者会見を行い、内閣府の全職員に対し、外部へのファイル送信時にPPAP方式を行わないことを通知すると発表しました。理由は、セキュリティ対策として不十分である点や、受け取り側の利便性の観点から適切ではないというもので、政府の意見募集サイト「デジタル改革アイデアボックス」に寄せられた多数の意見が反映された形となりました。
もともと中央省庁間でのファイルのやり取りには、政府内専用のネットワーク「政府共通ネットワーク」が使われており、政府は外部とのやり取りでPPAP方式を行なっていました。そのことから多くの企業がPPAPの手順を取り入れており、マニュアル化しているケースも少なくありません。
内閣府の発表は、民間企業のこうした動向にも影響を与えるでしょう。今後、政府のPPAP方式に代わるセキュリティ対策については、クラウドストレージサービスの利用などが検討されており、民間企業の対応に注視しながら決めていく方針のようです。また、引き続き「デジタル改革アイデアボックス」への意見投稿も呼びかけています。
PPAPの問題点
PPAPの問題点は、以前から多くのIT関係の専門家より指摘されており、内閣府の決断によって広く認識されるようになりました。政府の決定に従って、今後PPAPの廃止を検討する企業も多いでしょう。ただし、安易に廃止して、そのあと有効なセキュリティ対策が取れなくなることは避けなければなりません。PPAPの何が問題なのかを正しく理解し、どのようにその問題を解決・補完すればよいのかを十分に検討してから、自社の方針を決定しましょう。
メールの盗聴リスク
PPAPの手順では、パスワードを付けた(暗号化した)Zipファイルを送る前後に、「先ほどお送りした(これからお送りする)ファイルのパスワードは*****です」という別メールを相手に送ります。
しかし、電子メールは送信者から受信者に届くまでに、いくつかの組織のメール転送エージェントを介し、その間の通信で暗号化されるとは限りません。つまり、その過程で攻撃者に盗聴されるリスクがあるのです。しかも、前後して同じメールという方法で送られてくるパスワードも、同時に攻撃者の手に渡る可能性が極めて高いため、セキュリティレベルを担保できないといわれています。
また、Zipに付けるパスワード自体も、一般的なツールを用いて比較的短時間で解析できる程度の強度でしかないことが指摘されています。容易に解析されない安全性を保つためには、おおむね10桁以上で英数字、記号を駆使した複雑なパスワード設定が必要といわれます。
ウイルスチェックができない
送受信するファイルに対してのセキュリティも問題ですが、もっと深刻なのが、パスワード付きZipファイルはウイルスチェックができない場合があるという点です。今やセキュリティ対策ソフトの導入は企業として当たり前になっていますが、通常のセキュリティ対策ソフトでは、パスワード付きのZipファイルに対してウイルスチェックが働かないことがあります。
さらに、Zipファイル添付を行っている企業が狙われる可能性も増えることになるのは容易に想像がつきます。パスワード付きZipファイルがセキュリティソフトのチェックをすり抜けて届き、受信者がそのファイルを解凍する際に感染してしまう「Emotet」というマルウェアも世界規模で拡大しています。
そのセキュリティ対策として、パスワード付きZipファイルをブロックする企業も増えてきています。こうした理由から、今後パスワード付きZipファイルは相手に届かず、はじかれてしまうリスクも考えられるのです。
受信者側の生産性の低下
PPAP方式は、ファイルを受信した側の作業負担が大きく、生産性の低下につながる点も指摘されています。パスワード付きのZipファイルを受信すると、ファイルごとにセットとなっているパスワードを管理しなければなりません。また、ファイルを開くたびに毎回パスワードを入れなければならず、手間がかかります。頻繁にやり取りをする場合、相手にとってその負担は軽いものではないでしょう。
取引先ごとに一定期間、同じパスワードをかけることも可能ではありますが、ファイルを開くたびにパスワードを入れる手間までは減らせません。もちろん、モバイルデバイスでZipファイルを開けないものもあり、多様な働き方の1つ「どんなデバイスでも」からも乖離してしまいます。
PPAPの代替方法
PPAPの問題点がいずれも深刻であることがわかっても、代替方法を確立しないうちに廃止してしまうのは危険です。PPAPの問題点を回避し、利点を保持するためにはどのような方法が有効なのか、具体的に見ていきましょう。
S/MIMEでファイル送信
ファイルの送受信にどうしてもメールを使いたい場合は、S/MIME(Secure / Multipurpose Internet Mail Extensions)のような、電子メール通信のセキュリティを上げる暗号化方式を活用するのがおすすめです。S/MIMEでは電子証明書を用いるため、メールを暗号化して盗聴を防ぐだけでなく、メールに電子署名することで送信者のなりすましやメール改ざんなども防止します。
S/MIMEを活用すれば、電子メールだけで安全にファイル送受信できるメリットがあります。しかし、送る側と受信する側の双方がこの方式に対応できるよう、運用の準備をしておかなくてはならない点には要注意です。
クラウドストレージでファイル共有
直接メールでファイルをやり取りするのでなく、送受信したいデータをBoxなどのクラウドストレージに保存し、受信者とセキュアなリンクやコラボレーションで共有する方法も非常に有効です。クラウドストレージであればフォルダへのアクセスをコントロールできるため、セキュリティ対策が十分となります。共有する人の範囲も選ぶことができます。
ファイルをやり取りする際のメールも、ファイルの置き場所(リンク)を知らせる1回だけで済むので効率がよいなど、多くのメリットがあります。そのうえ、メールは送信できる容量に限度がありますが、クラウドストレージではメッセージサイズのみで極小化されます。
また、Boxであれば受信者がそれぞれのデバイスにダウンロードしなくても、クラウド上で共有したり共同編集したりすることも可能です。さらに、万一どちらかのハードディスクがクラッシュしたり、ウイルスに感染したりした際にも、ファイルはクラウド上で安全に保つことができます。
まとめ
近年、一部の企業や業界ではビジネスにおけるファイル送受信の常識のように行われてきたPPAPは、昨今セキュリティ上のリスクが問題視され、多くの専門家から廃止を求められていました。今回の内閣府の決定で、ようやくその口火が切られ、あらためて多くの企業で別のセキュリティ対策や共有方法を講じることになるでしょう。
その代替策として、クラウドストレージの使用はとても有効な手段です。Boxのクラウドストレージは暗号化対策がされており、データのバックアップ機能も備えているので、ファイルを共有するのに最適でしょう。さらに、PPAPの元となる情報共有自体は、ファイルやコンテンツの作成から活用、共有や活用、保管、再利用、保存、破棄といったライフサイクルの一端でしかありません。
これを良い機会ととらえ、単なるPPAP対策ではなく、情報共有全体の効率化とセキュリティを俯瞰して自社に適した対策を検討してみてはいかがでしょうか。
