PPAPを正しく理解したいお客様へ
脱PPAP

PPAPを正しく理解したいお客様へ

PPAPの現状と
安全なファイル送受信

2020年末から急速に広がった「PPAP」の廃止論
PPAP問題を正しく知り対策を検討することが重要です

  • パスワード付きzip暗号化ファイルを送ります
  • パスワードを送ります
  • 暗号化
  • プロトコル

2020年11月に平井デジタル改革担当大臣がPPAP(添付ファイルのZip暗号化)の霞が関での運用を廃止したことにより、PPAP廃止論は急速に広まりました。その流れは一般企業にも広がり、当社にも多くの問い合わせをいただいています。

10年以上に渡り一般的に利用されてきたPPAP運用の背景と現状を理解した上で、これからの安全なファイル送受信の運用について検討することが必要だと当社では考えます。

PPAPが
浸透した背景

Webサーバーとクライアントの通信手順であるhttpは急速に暗号化(https)が進んでいます。一方、メールの通信手順であるSMTPは未だ暗号化されていないのが現状です。SMTPsを利用していても自社のPCとサーバー間の暗号化のみであり、インターネット経由の通信は暗号化がされていません。つまり、現在インターネット上に飛び交っているメールはいつでも誰でも簡単に盗聴することができる状態にあります。

双方のサーバーが対応している必要があることなどから、なかなかSMTPの暗号化は進みません。そのような状況の中で「添付ファイルだけでも安全に届けたい」という風潮が高まり、2010年前後から添付ファイルのZip暗号化が利用され始めました。さらに、2012年に情報処理推進機構(IPA)が「ISMSやPマーク取得において、パスワード保護が効果的である」という見解を示したことから普及が加速しました。

以下は当社のお客様(有効回答数 514件)に2021年2月4日〜15日の期間で実施したアンケートの結果です。実に53%のお客様がPPAPを利用されていた(暗号化Zipは85%)ことがわかります。

2020年11月以前において、
PPAPを含んだ暗号化zipを利用してメールを送っていましたか?

なぜPPAPでは
だめなのか

広く普及していたPPAPですが、では何が問題だと指摘されているのでしょうか。当社では以下の2点だと考えます。

暗号化した添付ファイルと
パスワードを
同一経路で送信している

添付ファイルを
盗聴されるリスク!

暗号化したファイルをメールに添付して送り、同一経路で後追いパスワードを受信者に伝えることは、その経路上を第三者に盗聴されていたとしたらパスワードまで傍受されるため暗号化の意味がありません。

ファイルを暗号化してメール添付すると
ゲートウェイでの
ウイルスチェックができない

標的型メール攻撃を
受けるリスク!

Emotet、IcedIDなどのマルウェア(ウイルス)は暗号化したファイルをメール添付で送ってきます。一般のセキュリティソフトでは検出が困難で、ウイルスチェックやサンドボックスチェックをすり抜けてしまいます。

より詳しい資料を
ダウンロード

考えられる
代替手段

PPAPの代替手段は現状いくつかの方法が考えられます。しかし、受信者側のセキュリティ性を担保しつつ同時に送信者の利便性も維持することを念頭に置くと、残念ながらどの手段も完全な解決策と言えません。

STARTTLS、MTA-STSZ(TLS1.2以上)、DANEなどのメールサーバー間のセキュリティ対策を利用する

課題

  • 送信者と受信者のEnd to Endの暗号化ではなく、また誤送信防止にはならない
  • クラウドメールサービスを利用している場合、通信経路の暗号化はクラウド事業者の対応可否に依存し、利用者の意思で暗号化の有無を決めることができない

S/MINE、PGPなどの電子署名と暗号化の仕組みを利用する

課題

  • 証明書や鍵の管理が容易ではなく、またゲートウェイでのウイルスチェックができない
  • 利用可能なメールクライアントが限定され、送受信を行うには相手にも高度なナレッジを求めることになる

クラウドストレージを利用する

課題

  • URLとパスワードを同一経路で送るとZip暗号化と同じことになってしまう
  • 過去のメールから検索し、当時配送されていたファイルを確認しようとしてもメールとファイルが分かれている、どのファイルが見つけたいものなのかわからない

チャットやSNSなどを利用する

課題

  • 送信者、受信者ともに同一のアプリケーションを利用している必要性があり汎用性が低い

すぐにできる
「脱PPAP」

メールの通信手段の暗号化が浸透するまでは完全な解決策はないと言われるPPAPですが、「添付ファイルを盗聴されるリスク」「標的型メール攻撃を受けるリスク」は待ってくれません。
当社では、大きなコストや高度なナレッジを必要とせずにすぐにできる「脱PPAP」として以下の代替手段をご提案します。

添付ファイルZip暗号化からWebダウンロードに切り替える

「添付ファイルWebダウンロード」は、メール送信時に本文と添付ファイルを自動的に分離し、添付ファイルはメール本文に記載されたURLのWebサーバー上からパスワードを利用してダウンロードする機能です。Webサーバー上に分離されているファイルを送信者は削除、またはダウンロードロックすることもでき、メールの一時保留機能と組み合わせることで誤送信対策レベルの維持・向上を実現します。

パスワードは同一経路で送らずにヒントのみを伝える

パスワードはURLが記載されたメールと同一経路では送らずに別の手段で受信者に伝えます。URLが記載されたメールの後追いメールで伝える場合にも、パスワードそのものを記載することはせずに「以前お伝えした12桁のパスワードです」などと送信者と受信者にしかわからない文字列を設定しヒントのみを伝えます。

暗号化ファイルも検知できる標的型メール攻撃対策をする

受信者側の観点では標的型メール攻撃の対策が必要になります。猛威を振るうマルウェア、EmotetやIcedIDなどはZip暗号化ファイルに悪意のあるマルウェアを忍ばせてきますので、一般的なセキュリティ対策製品では対処が困難だと言われています。パスワード付きZip暗号化ファイルの中身まで検知できる対策が必要です。

より詳しい資料を
ダウンロード

対応するサービス・製品

脱PPAP

添付ファイルWebダウンロード + パスワードヒント
に対応するサービス・製品

クラウド型メール誤送信防止サービス「Active! gate SS」、オンプレミス型メール誤送信防止製品「Active! gate」には「添付ファイルWebダウンロード機能」が標準機能されていますので、すぐにPPAPの代替手段として利用することができます。

PPAP受信対策

暗号化ファイルの中身も検知できる
標的型メール攻撃対策製品

標的型メール攻撃対策製品「Active! zone × サンドボックス」には、対処が困難と言われるパスワード付きZipファイルの中身まで検知する機能が実装されていますので、EmotetやIcedIDなどのマルウェアにも効果を発揮します。

より詳しい資料を
ダウンロードいただけます

添付ファイルのZip暗号化(PPAP)への対処と代替手段について

「平井大臣の『脱パスワード付きZip宣言とは?』」「今までパスワード付きZip暗号化が推奨されてきた理由は?」「『脱パスワード付きZip派』が提唱する代替手段とは?」「クオリティア社としてのご提案」など、メーカーとしての見解をまとめて具体的な代替機能をご紹介する資料です。