「PPAP問題とは何のこと?」「なぜPPAPが問題視されているのか?」という疑問をお持ちの方もいるはずです。政府や企業の注意喚起によってPPAPの問題性が広がり、その脆弱性の総称として「PPAP問題」という言葉が生まれました。
メールが盗聴される可能性、パスワード解読が容易などの問題性から、別の共有手段への切り替えが推奨されています。そこで今回は、PPAPの問題点や代替案、PPAP廃止と同時に取り組みたいセキュリティ対策について解説します。
目次
[ 開く ]
[ 閉じる ]
PPAP問題とは?
近年、PPAPの脆弱性が問題視されています。そもそもPPAPとは、パスワード付きZIPファイルとそのパスワードをメールで送信する共有手段のことです。
【関連記事】PPAPとは?問題視される4つの理由と代替案、効果的な対策方法を徹底解説
このPPAPは元々、情報セキュリティの手法として企業を中心に利用されてきました。しかし、PPAPの名付け親である大泰司章氏は「セキュリティ対策として無意味」として、PPAPを批判するようになりました。
この発言をきっかけに、有識者やネットユーザーの多くがPPAPを問題視し始め、PPAPの脆弱性や問題性の総称として「PPAP問題」という言葉が生まれたのです。
また、内閣府の「平井内閣府特命担当大臣記者会見要旨 令和2年11月24日」では、PPAPについて議論が交わされ、その結果「内閣府、内閣官房で採用していたZIPファイル送付と同じ経路でパスワードを自動で送る方式は、セキュリティ対策の観点からも、受け取る側の利便性の観点からも、適切なものではないと考えています」と明言されました。
PPAPの問題点
PPAPは多くの企業でセキュリティ対策の一環として運用されてきましたが、この共有手段には複数の問題点が存在します。情報セキュリティを維持するためには、以下4つの問題を認識し、適切に対処する必要があります。
- メールが盗聴される可能性
- ウイルスチェックすり抜けによる被害
- パスワード解読が容易
- 作業効率の低下
各問題点を一つずつ見ていきましょう。
メールが盗聴される可能性
PPAPを利用してファイルを共有すると、メールが盗聴される危険性があります。パスワード付きZIPファイルと別途で送信されるパスワードは、結果的に同じ経路を使用することとなります。
つまり、同じタイミングでメールを盗聴されると、パスワード付きZIPファイルとパスワードが同時に盗まれてしまい、セキュリティの意味を成さなくなってしまうのです。また、1通目と2通目を別の相手に送ってしまう、といった情報漏洩のリスクも伴います。
ウイルスチェックすり抜けによる被害
PPAPではZIPファイルの内容を隠して送信するため、受信側のセキュリティソフトが正確に作動せず、ウイルスチェックをすり抜ける可能性があります。その結果、悪意のあるマルウェアのファイルを開いてしまい、システム全体が感染するという危険性があるのです。
▼マルウェア感染による主な被害
- 企業の機密情報が外部に流出する
- 社内情報が改ざんされる
- デバイスが乗っ取られる
マルウェア感染は社内だけでなく、社外の取引先や顧客にも影響を与える可能性があります。
パスワード解読が容易
パスワードが解読されやすい点も、PPAPの問題点の一つとして挙げられます。専用のプログラムが使用された場合、ZIPファイルのパスワードは短時間で解読される可能性があります。
暗号化方式には大きく「ZipCrypto(Standard ZIP 2.0)」と「AES-256」の2種類があり、PPAPでは多くの場合で前者が採用されています。「ZipCrypto」は安全性が低く、暗号解読は何度でも入力できるため、時間をかければいずれはパスワードを突破されてしまうのです。
作業効率の低下
PPAPを採用すると、作業効率が低下するという難点が伴います。PPAPでは、パスワードを別のメールで送信する必要があるため、送信者と受信者双方の作業量が増加します。
例えば、送信者はまず情報をZIPファイルにまとめ、それをパスワードで暗号化して相手に送信します。その後、ZIPファイルを開くためのパスワードを別のメールに添付し、同じ相手に送信するという一連の作業が必要です。
受信側もまた2通のメールを受け取り、それぞれのメールに含まれる情報を使用してZIPファイルを解読する手間が生じます。この運用を日常的に繰り返すと、作業効率の低下に繋がってしまうのです。
問題を抱えるPPAPの代替案
現代のWeb業界ではPPAPの問題点は広く知られており、多くの企業や政府が代替案を求めています。この項目では、PPAPに代わる新たなサービスやツールを紹介します。
クラウドサービス
クラウドサービスは、データをインターネット上のサーバーに保存し、特定のユーザーのみがアクセスできるようにするサービスです。データの取り扱いが容易で、アクセス制御や暗号化機能が備わっている点が特長です。
また、安全な環境でファイルを共有できるため、PPAPのようにパスワードを設定する必要もありません。政府はクラウドストレージの利用に移行する方針を発表しています。
別経路を利用する
すぐにPPAPから切り替えたい場合、別経路を利用する方法が推奨されます。これは、ZIPファイルとパスワードを別々の経路で送信する方法です。
例えば、ZIPファイルをメールで送信し、パスワードはチャットツールで送信するなどがこれに該当します。送信経路を分けることで、仮に一方の通信が盗聴されても、必要な情報が揃わずデータの漏洩リスクを軽減することが可能です。
ファイル転送サービス
ファイル転送サービスは、ファイルやデータをインターネットを介して送受信するためのオンラインサービスです。特徴として、ファイルの容量制限が少なく、高速にファイルを送受信できる点が挙げられます。
▼ファイル転送サービスの一例
- ギガファイル便
- クリプト便
- SECURE DELIVER
実際の流れとしては、特定のサーバーにファイルをアップロードし、相手にダウンロードリンクを送信します。相手がそのリンクを開き、ファイルをダウンロードすれば共有は完了します。ファイル転送サービスの難点は、一定期間経過するとファイルが自動で削除されることです。
S/MIME
S/MIMEとは「Secure / Multipurpose Internet Mail Extensions」の略称であり、電子メールの内容や添付ファイルを暗号化する規格のことです。これにより、メールを第三者に見られたとしても、暗号化されているため内容は解読されません。
この規格は、Outlookなど多くのメールサービスでサポートされています。なりすましを防止できるといった利点もあります。
ビジネスチャットツール
ビジネスチャットツールは、企業や団体内のコミュニケーションを効率的に行うためのツールです。ファイルの共有やタスクの管理、ビデオ通話などの機能を備えています。
代表的なものとして、Chatwork、Slack、Microsoft Teamsなどが挙げられます。メールよりもスピーディなファイル共有が可能であり、使い方次第ではセキュリティ対策を強化することが可能です。
PPAPの廃止と同時に取り組みたいセキュリティ対策
PPAPを廃止しただけでは、セキュリティ対策が万全とは言えません。PPAPの廃止は一つのステップであり、それと同時に実施すべきセキュリティ対策が存在します。
- ウイルス・マルウェア感染への対策
- 情報漏洩への対策
- 不正侵入・ハッキングへの対策
以下、PPAP廃止と並行して取り組みたいセキュリティ対策を解説します。
ウイルス・マルウェア感染への対策
PPAPの廃止で生まれた脆弱性を突かれ、悪意のある第三者からウイルスやマルウェアを送り込まれる可能性があります。ウイルスやマルウェアからデバイスやネットワークを守るためには、以下のような対策が有効です。
▼ウイルス・マルウェア感染への対策
- ウイルス対策ソフトの導入
- ソフトウェアの更新
- 危険なWebサイトのフィルタリング
- ID・パスワードの強化
- 従業員への注意喚起
情報漏洩への対策
PPAPの廃止にかかわらず、情報漏洩への対策は徹底すべきです。企業の機密情報が流出すると、ブランドイメージの失墜、金銭的損失の発生など、複数のリスクが生まれます。重要情報や顧客データの漏洩を防ぐための対策は以下の通りです。
▼情報漏洩への対策
- ファイアウォールの導入
- 顧客データの適切な管理
- 資料・メディア・機器の廃棄ルールの徹底
- 無線LANのセキュリティ設定
不正侵入・ハッキングへの対策
不正侵入やハッキングは、企業のITインフラにとって重大なリスクを持つ問題です。これを予防・対策するための具体的な方法は以下の通りです。
▼不正侵入・ハッキングへの対策
- パスワード管理の徹底
- ファイアウォールの導入
- 侵入防止システムの導入
- ソフトウェアの更新
- ログの取得と管理
GMOサイバーセキュリティ byイエラエが企業のセキュリティ対策を徹底サポート
画像引用元:GMOサイバーセキュリティ byイエラエ
PPAPの廃止とともにセキュリティ対策を強化したいなら、「GMOサイバーセキュリティ byイエラエ」の利用をおすすめします。本サービスでは、サイバー攻撃の対策からセキュリティ課題の解決まで総合的なサポートを提供しています。
▼GMOサイバーセキュリティ byイエラエの強み
- 自社のセキュリティの弱点を特定し、対処法まで把握できる
- ホワイトハッカーの技術力であらゆるサイバー攻撃によるリスクを低減できる
- セキュリティコンサルティングサービスで高度化する脅威に常に対応できる
PPAPから別の共有手段に切り替える際に、セキュリティの脆弱性が生まれる可能性があります。悪意のある第三者にその脆弱性を狙われないためにも、国内トップクラスのホワイトハッカーが多数在籍する本サービスの利用をぜひご検討ください。
まとめ
本記事では、PPAPの問題点や代替案、PPAP廃止と同時に取り組みたいセキュリティ対策について解説しました。
PPAPは有効なセキュリティ対策として採用されていましたが、近年ではその脆弱性が問題視されています。政府もPPAPの注意喚起を行っており、別の共有手段への切り替えを推奨しています。
ただし、PPAPを廃止する際にはセキュリティの脆弱性が生まれやすいため注意が必要です。PPAPの廃止を考えている方は、廃止と同時にぜひ「GMOサイバーセキュリティ byイエラエ」の導入をご検討ください。お客様の抱えるセキュリティ上の問題の可視化と課題解決を、徹底的にサポートいたします。
文責:GMOインターネットグループ株式会社