「PPAP」

サイバーセキュリティの基本を理解するためには、いくつか重要なセキュリティ用語を知っておくことが必要です。
これらの言葉や概念を正確に理解することで、企業が直面するリスクを最小限に抑え、適切な対策を講じることができます。
本記事では、中小企業が特に知っておくべきセキュリティ用語について解説しています。

今回のテーマは「PPAP」です。

●PPAP

電子メールの添付ファイルを送信する際、パスワード付きファイル（ZIPファイル等）を添付するメールと、そのパスワードを記載したメールを別送信する方法を、PPAP（Password付きZIPファイル＋Password別送）と呼びます。

企業で広く使われているメール添付ファイルのセキュリティ手法ですが、現在は廃止が進んでいます。
その理由と代替策を紹介します。

●PPAP廃止の理由（PPAPの問題点）

PPAP廃止の主な理由として以下があります。

１．盗聴・誤送信に弱い

ファイルとパスワードを同じメール経路で送るため、メールを盗聴された場合に添付ファイルを簡単に閲覧されてしまう。また、メール誤送信時はパスワードまで送ってしまうケースが多い。

２．ウイルスチェックができない

パスワード付きZIPは暗号化されているため、セキュリティソフトが中身をスキャンできず、マルウェア感染の温床になる。

３．ファイルが利用されたか記録が残らない

誤送信があった場合、当該ファイルが誤送信先で利用されたかわからない。

４．パスワードを突破される

パスワード付きZIPファイルにパスワードを総当たりされ、ファイルを解凍されてしまう。

５．メール利用者の手間

パスワード化してメールを２つ作成して送信するため、添付ファイルなしのメールと比して手間がかかる。

●代替策

PPAPの問題点を解決するには、安全で、ログが残り、誤送信対策にも強い方式を利用する必要があります。具体的にはメール送信者及び受信者がデータをアップロード／ダウンロードできるクラウドストレージや、セキュアファイル転送サービスを利用する方法があります。

この方法を採用すれば、以下のメリットがあります。

• 誤送信した場合はクラウドストレージ上のファイルを削除すればよい。
• 誰がいつ開いたか、アクセスログが残る。
• ダウンロード有効期限を設定する、パスワードを設定する等、アクセス制御ができる。
• 大容量ファイルも送ることができる。
• ウイルススキャンが可能。
  
  

しかし、受信者側の企業の情報セキュリティルールにより、クラウドストレージやセキュアファイル転送サービスの利用が禁止されているケースがあるため、ファイル送信時には相手側に確認を取る必要があります。

また、上記方法は導入における手間や費用が掛かる場合があります。
PPAPを行っている環境においてすぐにできる代替策として、パスワードを電話等別手段で相手に送る方法があります。

しかし、電話は複雑なパスワード文字列を通知することが難しいため、頻繁にファイルを送る相手には会議の場でパスワードを通知し一定期間利用する方法もあります。（例：月１回の定例会議でその月に利用するパスワードを通知する）