PPAPはなぜ禁止される?問題と対策をご紹介
更新日 : 2024年01月25日
お客様や取引先といった社外とファイルを共有する場合、どのような手法をとっていますか? 共有したいファイルを「パスワード付きzipファイル」にしてメールで送信し、改めてメールでパスワードを送信している方も多くいらっしゃるのではないでしょうか。 こうした手法は「PPAP」とも呼ばれています。 このPPAPは、「セキュリティ対策」の1つと信じられ広く普及したものの、セキュリティ面で多くの問題があることがわかっています。 本コラムでは、PPAPの概要や問題を紹介し、どのように対策すべきかをご紹介します。 |
目次 |
PPAPとは?
PPAPとは、ファイルを「パスワード付きzipファイル」にして1つ目のメールで送信し、改めてメールでパスワードを2つ目のメールで送信することです。 PPAPは、下記4つの頭文字を取ったものです。
しかし、政府はこのやり方を廃止することを明らかにしており、この流れに追随するようPPAPを廃止する企業も増えていくことが想定されます。 なぜPPAPを辞めざるを得なくなったのか、次の章でご紹介します。 |
禁止される理由と課題
PPAPが禁止される理由として、3つの課題が挙げられます。 |
-
セキュリティ対策として効果が薄い
- 攻撃者がメールの1通目を盗み見できた場合、2通目のメールも盗み見できる可能性が高いため、添付ファイルとパスワードを分けて送信しても意味がないことが考えられます。
- 一般的にID・パスワードを一定回数以上間違えるとロックがかかることが多いですが、「パスワード付きzipファイル」はそういった制限がないため何度でも試せてしまいます。
-
ウイルス対策の効力を失わせる
- 添付ファイルのウイルスをチェックする機能をもつセキュリティ対策製品でも、パスワード付きのzipファイルの中身は検知できないことがあります。
-
受信者側に手間が増える
- 受信者が必ずしもパソコンでメールを閲覧するとは限らず、パスワード付きのzipファイルをスマートフォンで開くのは手間がかかってしまいます。
PPAPの代替案
PPAPに代わる対策としては、大きく3つ考えられます。 |
-
パスワードをメール以外の手段で伝える
- PPAPをやめる第一歩として、パスワードをSMSやチャットなど別の手段で伝えるという方法があります。
-
クラウドストレージの利用
- OneDriveやbox、Googleドライブといったクラウドストレージを利用する方法があります。
- クラウドストレージの利用はセキュリティと利便性の両立が実現できます。
-
Azure Information Protectionの導入
- Azure Information Protectionでは、極秘・社外秘・公開可など機密度に応じてファイルを分類・ラベルを付与し、ラベルの定義に応じた暗号化を行います。
- ファイルを閲覧するためにパスワードは必要ありませんので、PPAP対策にもご活用いただけます。
- Azure Information Protectionの概要や前提条件などに関して、詳細はこちらから≫
▼ホワイトペーパーのサンプル▼ |
本ホワイトペーパーでは情報セキュリティ10大脅威2024にランクインしたサイバー脅威の原因や対策方法とセキュリティ運用に関連する用語を解説しています。 自社のセキュリティ強化を検討されている方はぜひダウンロード下さい。 |
クラウドストレージのプランを比較
クラウドストレージで有名な3社の、ビジネス向けプランを比較してみました。(法人・ビジネスプラン) どれも無料版が用意されていますので、使用感などを試してみてはいかがでしょうか。 ここに記載した情報は、2021年8月時点のものです。予告なく変更になる恐れがありますので、詳細は各メーカーの公式Webサイトをご確認ください。 |
ライセンス | 保存容量 | 価格 | 特徴 | 無料版 | |
---|---|---|---|---|---|
OneDrive |
OneDrive for Business(Plan 1) |
1TB |
月額540円/1ユーザー※1 |
|
○ |
Box |
BusinessプランStarter |
100GB |
月額522.5円/1ユーザー※2 |
|
〇 |
Google Drive |
Google Workspace Business Starter |
30GB | 月額680円/1ユーザー※3 |
|
〇 |
※1:2021年8月時点のMicrosoft公式Webサイトの価格を参照。 |
まとめ
本コラムではPPAPの概要と問題点、対策についてご紹介しました。 情報漏えいを防ぎ、重要なデータを安全に共有するためにも、有効な方法を検討してみてはいかがでしょうか。 サイバー攻撃のきっかけは「メール」であることも多く、セキュリティ対策は重要です。 JBサービス株式会社では、従業員にむけたメールの訓練を含むセキュリティ教育サービスを提供しています。 有事の際に従業員が適切な対処ができるか心配、標的型メール訓練だけで効果が出ているのか不安、など課題をお持ちの方はぜひご検討ください。 |