見出し画像

脱PPAPを実現するおすすめサービス

株式会社ハイパー公式note

ファイルをメールで共有するときに、パスワード付きZIPファイルを送り、追ってそのパスワードをメールにベタ打ちして送るという方法は「PPAP」と呼ばれています。
この方法をとっている企業は少なくないのですが、セキュリティ面でのリスクは完全にないとは言えません。具体的にどういうリスクがあり、脱PPAPを図るにはどういう手法があるのでしょうか。

PPAPのリスク

PPAPというのは、当時の日本情報経済社会推進協会(JIPDEC)の大泰司 章氏が命名した言葉です。由来になっているのは、YouTubeで大流行したピコ太郎氏の同名曲だといわれています。メール送信でのPPAPの各文字の意味は以下の通りです。

P:Password付きZIPファイルを送ります
P:Passwordを送ります
A:Angoka(暗号化)
P:Protocol(プロトコル)

大泰司氏は、その後PPAP総研を立ち上げ、PPAPのリスクを訴えています。
また、2020年には内閣府および内閣官房でPPAP廃止が表明されたのをはじめとして、各企業で脱PPAPを宣言するようになってきています。

PPAPが危険な理由は主に3点あります。

    マルウェアの「Emotet」でパスワード付きZIPファイルからの感染が狙われる
Emotetは2019年から繰り返し流行していますが、2020年7月に発生したときに、Word形式のZIPファイルが添付されていました。メールを受信した側が、うっかりWordのマクロを実行させてしまうとマルウェアをダウンロードすることになってしまいます。
Emotetに添付された悪意のあるマクロは、セキュリティソフトを入れていても、すり抜けてしまうことがあり、また送信元が偽装されていることも多いために、PPAPでのファイル送信をすると、受信側で判別がつきません。

②    メールを盗み見られる可能性がある
メールを盗み見られるリスクについては、添付ファイルを送ったときと同じ通信経路でパスワードを送るため、ここを攻撃されてしまうとファイルもパスワードも盗まれることになります。

③    ZIPファイルの暗号化が脆弱
ZIPファイルの脆弱性というのは、ZIPによく使用されている暗号方式Traditional PKWARE Encryption(ZipCrypto)が、特定のツールを使えば短時間でパスワードができてしまうことにあります。

脱PPAP対策はどういう方法がある?

メールでパスワード付きZIPファイルを送る場合は、パスワードをメール以外の手段、電話やFAXチャットツールなどで伝えるのが本来あるべき姿です。ただし、この方法は送信側、受信側ともに手間がかかるうえに、ZIPファイルの暗号化の脆弱性についてのリスクは残ります。
そこで、考えられるのが以下のような方法です。

クラウドストレージ

ファイルをクラウドストレージ上にアップロードし、URLをメールに記入して送る方法です。クラウドストレージ側で、共有範囲を絞り込めるため、万が一URLが他者に知られてしまってもアクセスブロックできます。
また、サービスによってはパスワードの設定も可能です。

https://hypervoice.jp/download_list/cloud_service

チャットツール

Teams、Chatwork、LINE WORKSなどのチャットツールでもファイルの送受信が可能です。手軽に使えますが、企業全体での容量に制限があるサービスもありますので注意が必要です。

メールセキュリティサービス

メールにファイルを添付して送信すると、自動で分離してクラウドにアップされ、送信先にはURLを送るサービスです。

脱PPAPサービスの選定ポイント

脱PPAPのためのツールは、いつもどのようにファイルの授受を行っているかを考えて選ぶといいでしょう。
ファイルのやりとりをする相手が社内のみ、あるいは協業している相手のみで、日常のコミュニケーション方法がチャットツールであれば、ファイルも同様にチャットツール経由が楽です。

ファイルを送る相手が社外に多い場合は、相手をいちいちチャットツールに登録するのは現実的ではないため、クラウドストレージにアップしてURLを知らせるか、メールセキュリティサービスが便利です。

同じファイルを複数の相手に展開するなら、クラウドストレージにアップして同じURLをコピー&ペーストして送ればいいのですが、クラウドストレージサービスの中には、ダウンロード期限や回数の制限がかかっていることもあるため、その場合は都度アップロードしなおさなければなりません。
利便さを考えれば、メールセキュリティサービスが優位に上がるでしょう。

おすすめの「メールdeファイル」は、メールの添付ファイルを自動で分離し、サーバーにアップロードするサービスです。パスワードも自動で設定され、送信相手に届けます。
「送信保留設定」を行えば、メールの内容をチェックボタンで確認してから「送信確定」をする仕組みになっていますので、メールの誤送信を防ぎ、情報漏えいリスクを低減します。
取引先からファイルを送ってもらう時にも、ゲスト送信機能で同様にメールdeファイルを介した送信ができるため、双方にとって大きなメリットになるでしょう。

「メールdeファイル」de 脱PPAP!

https://www.re-stec.co.jp/product/service/mail-de-file

メールdeファイルの4つの特徴

この記事が気に入ったらサポートをしてみませんか?