パスワード付きzipファイルと、パスワードを別メールで授受するPPAP。一見セキュリティを意識しているかのような手順ですが、危険性も潜んでおり問題となっています。本稿では、PPAPの危険性と代替手段、代替となるオンラインストレージの選び方やおすすめ製品について解説します。
オンラインストレージの製品比較記事を見る
パスワード付きzipファイル授受(PPAP)の危険性
パスワード付きzipファイルをメールで授受する「PPAP」。以下のように、手順などの頭文字をとって「PPAP」と略されています。
Password付きzipファイルをメールで送信
Passwordを別メールで送信
暗号化(最初の読みからa)
Protocol
以前からこの手法はセキュリティ面で危険だという指摘はありましたが、最近になってPPAPを廃止する動きが出てきました。2020年11月に当時デジタル改革担当大臣であった平井卓也氏が内閣府と内閣官房でのPPAPを廃止すると発表したこともあり、今後は廃止の流れが強まっています。
そもそも、なぜPPAPが危険なのでしょうか。
1 zipの暗号強度は弱い場合がある
zipファイルの暗号化方式には、暗号強度の弱いZipCryptoと暗号強度の強いAES-256の2種類が採用されています。
しかし、幅広いOSでは、zipファイルの暗号化に暗号強度の弱いZipCryptoを採用。そのため、パスワードがなくても、攻撃者は専門ツールを使ってzipファイルの暗号化を突破するリスクが高くなっています。
2 結局は同じ通信経路でzipとパスワードを送ってしまっている
別メールで送信しているとはいえ、結局は同じ通信経路でzipファイルとパスワードを送ってしまっている点も危険です。
通信経路を盗聴している側にとっては、どちらの情報も盗めてしまうことは容易に想像できます。さらにメールの本文中に平文(暗号化しないテキストデータ)でパスワードを送っているので、盗聴データからすぐにパスワードも盗めてしまいます。
3 PPAPを隠れ蓑にするマルウェアが存在
PPAPを用いてパスワード付きzipファイルをメールで受信すると、受信側のマルウェア対策製品はzipファイルを解凍できず、そのまま通過します。この動きを悪用し、PPAPを隠れ蓑にして社内ネットワークに侵入するマルウェアの存在も明らかになっています。
これらの危険性があるため、セキュリティ対策としてPPAPを利用しても意味をなさないという認識が広がり、現在ではPPAPは廃止の方向です。
パスワード付きzipの代替手段4つ【PPAPは廃止】
では、パスワード付きzipファイルを廃止し、安全にファイルを受け渡す代替手段としては何があるでしょうか。ここでは、4つの代替手段を紹介します。
1 オンラインストレージサービスの利用(おすすめ!)
ファイル共有の代替手段として、もっとも手軽でセキュリティ面でも信頼できる方法は、オンラインストレージサービスの利用です。
ユーザーやグループを管理して、ファイルの共有URLをやり取りすることで、権限のある人だけが、与えられた権限の範囲内でファイルを操作できます。オンラインストレージサービスは社外からも利用でき、誤送信でファイルのURLを送ったとしても、権限のない人はアクセスできません。
オンラインストレージサービスを導入することで、セキュリティだけでなく誤送信への対応もできます。ただし、社外とやり取りする場合は、相手方にもオンラインストレージサービス利用を依頼しなければなりません。
2 ビジネスチャットツールの利用
slackやLINE WORKSなどのビジネスチャットツールは、チャット上でのファイル送受信機能を備えています。案件用のチャットルームでファイルを送受信すると、案件内でファイルの管理ができてとても便利です。
ビジネスチャットを利用すれば、見ず知らずの人に誤送信することもありません。ただし、ファイルを送信するチャットルームの選択ミスには注意する必要があります。
また、管理表などチーム全員で更新するファイルの場合は、ファイルの送受信では管理が難しくなります。そのためどこかにファイルを共有して、そのURLを管理するというやり方が一般的です。
3 S/MIMEというメール用の電子証明書を利用
これまで多くの企業ではメールの暗号化は行われていないため、盗聴されると弱いという側面がありました。この問題を解決し、PPAPの代替手段となる方法のひとつが、「S/MIME」を使ったメールの暗号化です。
S/MIMEとは、メール用の電子証明書です。メールの送信者・受信者双方がS/MIMEを使ってメールを送受信すれば、添付ファイルを含むメール全体が暗号化されるため、盗聴を防げます。万が一メールに改ざんがあった場合は、警告表示で分かる仕組みです。
ただし、S/MIMEはメールの送信者・受信者双方が対応しなければならない点に問題があります。自社だけ対応すればよいわけではない点がネックです。さらに、誤送信自体は防止できないため、他の防止方法が必要です。
4 一時送信保留や承認機能などメールの機能を利用
メールの運用で誤送信を回避したい場合は、メールの一次送信保留機能や、上司からの承認を得てから送信する機能などを利用するのも代替手段となります。
ただし、この方法ではメール送信作業が煩雑になり、上司の仕事が増えるなどの問題があります。また、本機能は誤送信の対応にはなりますが、セキュリティでの対応は別途検討が必要です。
パスワード付きzipの代替としてオンラインストレージを選ぶ5つのポイント
オンラインストレージのセキュリティ機能は、一部プランのみ提供している場合や、オプション機能としている製品も多く見られます。この点も念頭に置きつつ、PPAPの代替としてオンラインストレージサービスを選ぶ場合のチェックポイントを確認しましょう。
1 認証によるアクセス制限
オンラインストレージサービスには「URLを知っている人はすべてアクセス可能」という設定もありますが、セキュリティ的には危険です。アクセスする可能性のある人にはユーザーIDを配布して、認証によるアクセス制限を行いましょう。
認証には、認証コードやワンタイムパスワードを使った2段階認証や、生体認証も絡めた多要素認証を導入できるサービスがおすすめです。ID・パスワード認証だけでは、セキュリティリスクが高くなります。
また、認証だけでなくIPアドレスや使用デバイスによるアクセス制限機能もあると便利です。
2 アクセスログ管理
アクセスログ管理は、不正アクセスがあった場合に検知する役割を果たします。アクセスログ管理機能がない場合でも、最低限アクセスログを出力する機能があるかどうかは確認しましょう。アクセスログが出力されれば、別途ログ管理システムなどを導入してログの監視・警告の連絡などの仕組みを構築できます。
3 ダウンロード制限
ダウンロード制限機能は、一定回数や指定した期限日時でダウンロードを制限する機能です。利用回数や利用期限を定義することで、ファイルを残したままで起こり得るトラブルを回避できます。
4 アクセス権限設定
アクセス権限設定とは、共有ファイルの作成・閲覧・編集などの権限設定を指します。ユーザーとグループを管理して、個々のファイルにきめ細かくアクセス権限を設定できるかどうか確認しましょう。組織構造が複雑な場合は、グループを階層構造で管理したり、役職で管理したりできると便利です。
5 ファイルデータの暗号化
共有するファイルデータの暗号化機能も確認ポイントのひとつです。暗号化は、通信経路での暗号化(SSL通信対応など)とストレージ保存時のファイル暗号化の2種類があり、どちらも対応していることを確認します。
オンラインストレージの製品比較記事を見る
パスワード付きzipの代替としておすすめのオンラインストレージ3選
パスワード付きzipファイル運用の代替手段としておすすめのオンラインストレージサービスを3つ紹介します。
1 GigaCC ASP
- アクセス制限:SSO連携、グローバルIPアドレス制限、モバイル端末利用制限
- ログ管理:履歴ログ自動出力、自動ダウンロード機能
- ダウンロード制限:利用期限設定、利用権限設定、不正アクセス自動ロック
- アクセス権限設定:フォルダ/アカウント単位、部署単位、企業間など
- 暗号化:SSL/TLS暗号化通信、サーバ内暗号化
「GigaCC ASP」は豊富なセキュリティ機能を提供し、PPAPの代替手段として十分な機能を備えたオンラインストレージサービスです。
上記機能は、Standardプランですべて標準装備。プラン構成は、セキュリティ機能を3つ追加で選べるAdvancedプラン、すべてのセキュリティ機能が使えるPremiumプランと3段階あります。自社にフィットしたプランを選択しましょう。
2 Box
- アクセス制限:SSOサポート、2要素認証など
- ログ管理:監査ログとレポート作成
- ダウンロード制限:共有リンクの有効期限の設定、動的な電子透かしなど
- アクセス権限設定:詳細なセキュリティポリシー
- 暗号化:保管・転送時のAES 256ビット暗号化、オプションで暗号化鍵管理
「Box」は、多くの企業で利用されているオンラインストレージサービスです。PPAPの代替手段として求められるセキュリティ機能もすべて提供しています。
ビジネスプランとしては、StarterプランからEnterpriseまで4段階あるため、自社に必要なセキュリティ機能を備えたプランを選択しましょう。
3 DirectCloud-BOX
- アクセス制限: SSO認証、 副管理者権限、使用機能制限、IPアドレス制限、アカウントロック、リンク制御、デバイス認証、ネットワーク制限
- ログ管理:最大83種類の操作ログ、ファイル持ち出し管理、不正アクセス監視
- ダウンロード制限:リンクオプション設定、ゲストのセキュリティポリシー設定
- アクセス権限設定:7段階のアクセス権
- 暗号化:SSL通信、AES-256方式の暗号化
「DirectCloud-BOX」も、セキュリティ機能を豊富にそろえたオンラインストレージサービスです。プランはベーシックからエンタープライズまで5段階。利用人数も参考にしつつ、必要な機能を提供するプランを選択しましょう。
パスワード付きzipの代替手段にオンラインストレージの導入検討を
PPAPの代替手段には、オンラインストレージサービスがおすすめです。ここで紹介した製品以外にも下記記事では色々な製品をご紹介していますので、こちらも参考にしてみてください。
オンラインストレージの製品比較記事を見る
