PPAPとは
暗号化したzipファイルを送信して、その後にパスワードを送付した、もしくはそのような形でファイルの共有をしている方は多いのではないでしょうか。このようなやり取りをPPAP(Password付きzipファイルを送ります、Passwordを送ります、暗号化Protocol)と呼び、外部とのファイル共有の手段として多くの企業で使われてきました。PPAPには特別なツールを導入する必要がないためすぐに実施できる一方、セキュリティの観点で問題があると考えられています。近年ではPPAPの廃止を内閣府先導で実施する流れが起こっており、外部とのファイル共有の方法を見直す企業も増えてきています。
そもそもPPAPはセキュリティ的に何が問題なのでしょうか?そして、その対策にはどのようなものがあるのでしょうか?
PPAPの問題点
メールの盗聴
メールが通信経路上で盗聴されている場合、暗号化してファイルを送付したとしても、そのパスワードも同じメールという手段で送付されるため、攻撃者にパスワードが知られてしまいます。そのため、PPAPでのファイルのやり取りではセキュリティレベルが十分に確保されている状態とはいえなくなってしまいます。
ウイルス
暗号化zipファイルの一番の問題点は、添付ファイルに対するウイルスチェックができない状態になってしまう点です。暗号化されたファイルはウイルスチェックができないことも多いです。パスワード付きzipファイルがセキュリティをすり抜けて社内ネットワークに入り込み、解凍時にEmotetなどのマルウェアに感染してしまうという例が散見されております。
PPAPの対策
PPAPを対策するのであれば、「zipファイルを送らない/送らせない」を徹底し、社内・相手方ともに「パスワード付きzipは廃棄します」などと認知を広めていくことが必要です。
メール通信をすべて暗号化することでセキュリティを高めるというアプローチもありますが、お金と時間がとてもかかってしまいます。そこで、PPAPの代わりにクラウドストレージを使ってのファイル共有を実施する企業も増えています。
クラウドストレージで共有する
一般的によくいわれているのが、送受信したいデータをクラウドストレージ上に保存して、受信側へ共有リンクなどを送付する方法です。メール自体も一回で済むので手間がかかりません。
ファイル共有のためのリンクには有効期限、パスワードなどを設定することができ、ファイルのダウンロード回数や閲覧の制限などすることが可能です。
NASで共有する
詳しくは以下の参考記事をご覧頂きたいのですが、NASを利用するというのもひとつの方法です。クラウドストレージでは社外にデータを保存するのに対して、NASを使った方法では、社内にデータを置いたまま共有することができます。
クラウドストレージもNASも、社内のデータ共有にも活用できますし、PPAP対策をDX化の一つの好機として、ファイル管理の方法を見直してみてはいかがでしょうか?
関連記事
『【必見】オンラインストレージの導入方法とリスク&セキュリティ』