PPAPを見直そう。 #0058
※専門ではないため間違っている部分ありましたらご指摘くださいませ、、、
そもそもPPAPって何だ?
ペンパイナッポーアッポーペンではございません。
P:Password付き
P:Password送ります
A:Aん号化
P:Protocol(手順とか規格)
の頭文字アルファベットをとってPPAPと呼称されています。
よくある(と思っているけど)取引先などに重要な内容を含むファイルを連携する場合に、ZIP化して暗号化して、それを添付してメールという手段で連携することってありませんか?
添付ファイル付きのメールとは別で、添付ファイルのパスワードを記載したメールを少し時間を置いて送信する。(または社内のシステムや利用しているサービスで自動的に送信される)
PPAPとは、パスワード付きZIPファイルを添付したメールとその後にパスワードのみを別メールにして2回に分けて送信する方式のことです。
あんまりそんなことやってない?
私は結構していました。
このPPAPなんですが、最近特に見直そうよ。別の手段に切り替えようよという内容の記事を見かけるようになりました。
以下リンク先は、IPA(情報処理推進機構が毎年発表している情報セキュリティ10大脅威の2020年度版の記事になります。
組織のランキングの1位に「標的型攻撃による機密情報の窃取 」とあります。この攻撃によく使わる手段の1つとしてメールがあります。
メールにウィルス等が含まれたファイルを添付して、それとなく偽装したメールタイトルや本文で言葉巧みに添付ファイルを開かせて中に設定されているプログラムを動作させようとします。
大概の企業さんではメールが受信ボックスに受信する前に、導入されているセキュリティソフト・ツールなどである程度おかしなメールをふるい落とししてくれているはずです。この時に添付ファイルも確認してくれています。(すべてとは言い切れませんが、ツールやサービス・設定などによりけり)
添付ファイルがパスワード付きZIPファイルであった場合。
ファイルまでセキュリティチェックできない事が多いそうです。
つまり、セキュリティソフトのふるい落としをスルーしてしまい、受信ボックスに不審メールが到達する可能性が高まります。それとなく偽装された悪意のあるメールが受信ボックスにあれば開いてしまう可能性も高まります。
もちろん目検で受信ボックスのメール確認しているとしても、やっぱりある程度はセキュリティソフトのチェックを通過したものという信頼の元にメール見てしまいがちです。
そんなときにパスワード付きZIPファイルはセキュリティソフトのチェックを搔い潜っちゃっているという認識があれば、敏感にならざるを得ないですよね。メールの量も多い中、判断するためことがストレスにも繋がります。
ほかにも幾つかあるんですが、これがPPAPを見直そうといわれている一番大きな理由です。
じゃあ、どうした良いの?
極端な話パスワード付きZIPファイルをメールに添付しない。または、パスワード付きにしないといけないのか今一度検討する。
例えばビジネスチャットやクラウドサービスに置き換えることで対応します。今までメールで添付して送っていたものをビジネスチャットのトーク上で連携する。クラウドサービスに配置する等が挙げられています。クラウドサービスの中には共有リンクと言って、サービスを利用していない取引先でも内容を参照できる機能もあったりします。
例えば個人情報部分を切り取ればパスワード付きにしなくてもよいんじゃないかとか。定例でパスワード付きにしちゃってないか?など。
クラウド会計ソフトのfreeeは、2020/12/1より対外的にメールによるパスワード付きファイルの受信を廃止(厳密には添付ファイルを削除して、本文はそのまま受信)すると発表しています。
デジタル改革担当相もPPAP方式を廃止する方針を明らかにしています。
セキュリティの専門家では無いので記載や私の理解に誤りがありましたらごめんなさい。(ほぼ皆さんが記事にされている内容を薄く丸めて延ばしているつもりです。)
環境によって、出来る出来ないはもちろんありますが、今一度自分の周りでどうやっているのか確認してみたり、検討してみることで、セキュリティも高めて、受信側にも優しい世界を創造することができるのではないかと思います。