脱PPAPの対策に有効な代替ソリューションとは？ 自社に合った選択でメール添付のセキュリティ不安を解消する

ここでは、PPAPが浸透した要因とPPAP自体のセキュリティ問題について解説します。

PPAPとはファイルの共有をメール送信によって行う手法のひとつです。セキュリティ強化を目的として、パスワード付きZIPファイルをメール送信し、別のメールでパスワードを送ります。

P・・・Password付きZIPファイルのメール添付

P・・・Passwordを別のメールで送信

A・・・Angoka（暗号化）

P・・・Protocol（上記一連の手順）

4つの単語の頭文字をとってPPAPと呼んでおり、日本では官民問わず浸透しているファイルの共有手段です。

PPAPについての詳しい記事はこちらから
PPAPの課題とは？ 問題点と効果的な対策について解説

PPAPが浸透した要因として、誤送信や添付ファイルによる感染など、メール送受信についてまわるセキュリティのぜい弱性や情報漏えい問題が大きく関係しています。その中でメール本文はともかくとして、少なくとも添付ファイルのセキュリティを高めるために広まった手順がPPAPです。PPAPがメールセキュリティのぜい弱性対策となり得たのは、ファイルを暗号化してパスワード付きにする点と、ファイルとパスワードを切り離して送る点にあります。

セキュリティを高める目的で広まったものの、PPAP自体にもセキュリティ問題があり、次第に無視できないリスクとして指摘されるようになりました。主なリスクは以下のとおりです。

仮にウイルスが混ざっていたとしても、ファイル内容が見えずウイルス検知が難しくなります。

Emotetについての詳しい記事はこちらから
「Emotet（エモテット）」とは？ 特徴と対策をわかりやすく解説

メールのやりとりには誤送信や盗聴、盗み見がついてまわるといっても過言ではないでしょう。中でもより問題なのが誤送信だといえます。PPAPは添付ファイルの送信メールとパスワードの送信メールを分けているため、どちらか一方を誤送信したとしても安全だという理屈が大きなメリットです。
しかし、間違ったアドレスに送ったことに気付かなければ、2通とも同一アドレスに誤送信されてしまいます。送り先が正しいと思い込んでいるから起きるのが誤送信だと考えれば、PPAPは極めて誤送信に弱いといわざるを得ません。

誤送信対策についての詳しい記事はこちらから
▼効果的なメールの誤送信対策とは？ ツールを利用して誤送信を防ぐ

パスワードを別送することでセキュリティを高めているといっても、PPAPで使用されるパスワードは総当たり攻撃に弱いケースがあります。パスワード解析にかかる時間は、桁数と使用される文字の種類が少なければ一瞬です。様々なサービスで用いられている8桁の英数字の場合でも、1時間程度で解析されてしまう可能性があります。
もっとも、10桁以上で文字の種類を多くしたパスワードを設定すれば、何十年以上の時間がかかるため、解析されるリスクを大幅に低下させることが可能です。ただし、パスワード解析技術が進化する可能性を考えれば、必ずしも安心とはいえないでしょう。

PPAPではファイルを送るメールとパスワードを送るメールが別に存在するため、必ず2通のメールを送る必要があります。受け取る側も2度メールを開かなくてはなりません。この手間を惜しんで1通のメールでファイルとパスワードを同送してしまうと、セキュリティの意味がなくなってしまいます。

PPAP自体にもセキュリティの問題があることが分かりました。ここでは、広く知られていたPPAPが次第に廃止される流れになった経緯について解説します。

セキュリティを強化するはずのPPAPそのものが、セキュリティ不安を招いている部分があるのは皮肉な話です。前述の問題点を知った上でPPAPを続けているケースなどは、「やった気になっている」「外部へのアピール」といった形式的なセキュリティ対策に陥っているといえるかもしれません。情報漏えいリスクに備えるというセキュリティ対策の主目的から外れてしまったPPAPへの不安が指摘され、脱PPAPの流れが本格化しています。

PPAPは民間の企業や団体だけでなく、中央省庁や各自治体にも浸透していましたが、セキュリティ面の不安が明確になったことで、2020年には日本政府がPPAP廃止を打ち出しています。

• 2020年11月26日に内閣府、内閣官房でPPAP廃止
• 2021年1月4日に文部科学省で脱PPAP対策としてクラウドストレージ「Box」の利用を開始、サイトでも告知

日本政府では、各省庁においてPPAPから他のセキュリティ対策へ移行するだけでなく、2021年5月に総務省から出されたテレワークガイドライン第5版の中で、セキュリティ対策としてのPPAPへの疑問を以下のように指摘しています。

メールに添付された暗号化ファイルを通信経路上で窃取可能な攻撃者は、パスワードを記載したメールも窃取可能であると推測される（中略）暗号化されたファイルに対してはメールサーバーや端末におけるセキュリティ対策ソフト（ウイルス対策ソフト）によって中身のファイルの検知ができない

引用：総務省「テレワークセキュリティガイドライン第5版（令和3年5月）」｜https://www.soumu.go.jp/main_content/000752925.pdf

脱PPAPの流れは民間企業でも進んでおり、そこには代替可能なソリューションの普及が大きくかかわっている点も見逃せません。

PPAPの代替手段として、以下のような方法があります。

PPAPの問題点の多くが「メールの送受信」に起因することから、TSL（かつてのSSL）によるセキュリティ強化など、高い効果が期待できるクラウドストレージによる代替が有効とされています。

一時的・短期的なファイルの共有であれば、ファイル転送サービスがPPAPの代替ソリューションとなり得ます。ネット上の専用サーバーを介してやりとりするため、クラウドストレージと同じような感覚での利用が可能なシステムです。

PPAPよりも強化されたメール暗号化の方法、規格にS/MIMEがあります。S/MIMEには暗号化だけでなく電子証明の役割もあり、メール誤送信対策として活用されているソリューションです。

メール誤送信対策サービスは各種ありますが、クオリティア社のクラウド型メール誤送信防止サービス「ActiveGate！SS」ならTLS確認機能や送信メールの一時保留、上司承認、添付ファイルのWebダウンロードやヘッダーの自動変換など7種類の機能で情報漏えいの防止を図れます。テクバンでは、ActiveGate！SS と Office 365 連携によるクラウドメールのセキュリティ強化実績が豊富です。

また、SBテクノロジー社の製品「ClouXion」の導入をサポートするサービスも提供しており、脱PPAP（ClouXion（Mail safe/Mail Alert）の利用）を含め、Microsoft 365 活用に関するお悩みの解決にもあたっています。

詳しくは、テクバンの以下のページもご覧ください。
テクバンのActive!gate SS 導入支援サービスについてはこちらから
テクバンのclouXion導入支援サービスについてはこちらから
【事例】Mail Safe／Mail Alert 導入事例

クラウドストレージやファイル転送サービスと同様に、ネット上でファイルを共有できるソリューションにビジネスチャット（社内SNS）があります。単にファイルの共有が可能なだけでなく、メッセージの中でやりとりすることにより、送受信の管理・運用が円滑にできます。

※本記事の内容は2023年4月時点のものです。Microsoft 製品の仕様や利用環境は変更する場合があります。