フロスト&サリバンのSWGにおいてイノベーター及びリーダーと評価されました
Most Searched
従来のセキュリティアプローチには抜け道があり、コストが高く、セキュリティ チームにとって負担が大きいものでした。しかしメンロ・セキュリティは違いま す。最もシンプルかつ信頼のおける方法で業務を守り、オンラインの脅威からユー ザーやビジネスを分離します。
我々のプラットフォームは目に見えませんがオンラインユーザーがどこにいても保護しています。脅威は過去のものになり、アラートの嵐は過ぎ去りました。
データシート
従来のネットワークセキュリティは現在の複雑な環境を想定していません。SASEでこの問題を解決。
ソリューション概要
Menlo Labs は、脅威インサイト、専門知識、コンテキスト、およびツールを提供して、顧客が妥協することなく安全に接続、通信、コラボレーションするためのプロセスを支援します。 このチームは、既知の脅威と未知の脅威にスポットライトを当てる専門的なセキュリティ研究者で構成されています。
購入ガイド
Menlo Labs は、知見、専門知識、コンテキスト、およびツールを提供して、お客様が妥協することなく安全に接続、通信、コラボレーションするためのプロセスを支援します。
Menlo Security | 4月 18, 2023
Share this article
「暗号化されたzipファイルとパスワードを別々のメールで送る」PPAPは、かつては簡単にできるセキュリティ対策と考えられていました。しかし、実際にはPPAPはセキュリティ上高い危険性を持つことから、中央官庁をはじめとした多くの団体・企業が廃止を進めています。
この記事ではPPAPの持つ代表的な危険性を解説するほか、PPAPを廃止した場合の代替となるファイル送信手段を紹介します。PPAPを廃止したい企業のセキュリティ・情報システム担当の方は、ぜひご覧ください。
目次
PPAPとは、メールで添付ファイルを送信する際に「1通目のメールで暗号化されたzipファイルを送信し、2通目のメールでパスワードを知らせる」という手順のことです。
PPAPは、上記の言葉の頭文字をとって名付けられました。1通目のメールで送り先を間違えた場合にも、2通目のメール送信の際に間違いに気付くことができれば、第三者にファイルが見られる心配がありません。また、1通目のメールが盗聴された場合でも、2通目が盗聴されていなければ情報漏洩が防げます。
利用によって簡単にセキュリティ対策ができると考える企業が多かったため、ファイルの送受信にPPAPは活用されていました。
実際には、PPAPはセキュリティ対策としての効果が薄く、多数の危険性を抱えていることから廃止が進められています。2020年11月26日には、PPAPは中央官庁で完全に廃止されました。
出典:内閣府「平井内閣府特命担当大臣記者会見要旨 令和2年11月24日」
また、一般財団法人日本情報経済社会推進協会(JIPDEC)も、PPAPを従来から推奨していないという姿勢を示しています。
出典:JIPDEC「メール添付のファイル送信について」
PPAPが持つ代表的な5つの危険性を解説します。
一般的なセキュリティソフトは、メールにファイルが添付してある場合、ファイルに危険性がないかチェックします。しかし、パスワード付きのzipファイルが添付されていると、セキュリティソフトは中身を確認できず、ファイルチェック機能が作動しません。ファイル内にマルウェアが仕込まれていた場合、セキュリティをすり抜けて感染する恐れがあります。
zipファイルの暗号化方式には、「ZipCrypt」「AES」の2種類があり、ZipCryptはWindows標準のファイル機能で解凍できることから多くの企業が利用しています。しかし、ZipCryptは暗号強度が弱く、ソフトを使用すれば誰にでも解読ができる問題点があります。
パスワードを別メールで送信しても、暗号解読が容易であればそもそもパスワード自体が必要ないため、セキュリティ対策としては万全とは言えません。
PPAPでは、パスワード付きzipファイルとそのパスワードの送付、どちらにもメールを使用します。同じ送信方法を使用しているため、メールを盗聴されていた場合は2通目のメールも侵入者に読まれてしまいます。PPAPのように2通のメールでファイルとパスワードを別々に送ったとしても、盗聴対策としては意味がありません。
加えて、1通目と2通目のどちらかの送信先を間違えていたり、両方の送信先を間違えたりすると、情報漏洩のリスクが高くなります。
「パスワードを電話で伝える」といった、1通目と2通目の通信手段を異なったものにすることは盗聴対策には有効です。しかし、生産性の面から現実的な対策とは言えないでしょう。
PPAPでは、ファイル送付する度に、2通のメールを送る必要があります。送信者は、「ファイルをzipファイルにする」「パスワードを発行する」「メールを2通に分けて送る」の手順が必要です。
ファイルのやり取りが頻繁でない場合や、ファイルの数が少ない場合はそれほど手間ではありませんが、頻繁にファイルのやり取りを行うケースでは、送信者の負担が増えます。
また、受信者もファイルを受信する度に2通のメールを確認する必要があるため、業務生産性が落ちてしまうでしょう。
PPAPは、マルウェアの1つである「Emotet」に悪用される危険性があります。Emotetは、メールに添付された添付ファイルやURLを開くことによって感染するマルウェアです。
業務メールに偽装されて送られてくるため、PPAPを日常的に活用していると、Emotetに気付かない可能性が高まります。
PPAPはリスクが多く、廃止が求められています。一方で、現在PPAPからの脱却ができておらず、PPAPの代わりにファイルのやり取りを行う方法選びに悩んでいる企業も存在するでしょう。PPAPの代替手段について、代表的なものを解説します。
ファイル送信サービスは、インターネット上のサーバーにファイルをアップロードし、相手がそのファイルをダウンロードすることで、ファイルの共有が可能となるツールです。法人向けのファイル転送サービスは、高セキュリティで安全に使用でき、一定の期間後にはファイルが自動削除されるため、情報漏洩のリスクを抑えられます。
クラウドストレージとは、インターネット上でファイルを保管・共有するサービスです。複数人でデータを共有可能で、オフィスワークだけでなく、テレワークでの活用もできます。
メールと異なり、個別のファイルに細かくアクセス権限を設定できることも多いため、ファイルの誤送信リスクを低くできる点もメリットです。
ビジネスチャットツールの多くには、ファイルの送受信機能が備わっており、簡単にファイルの共有ができます。グループチャットやコミュニティチャットなどの機能を活用すれば、1対1でなく、1対複数でのファイル共有も可能です。
また、チャットツールの多くは通信を暗号化しており、盗聴リスクを抑えられます。
メールアイソレーションサービスとは、添付されたURLリンクや添付ファイルを無害化するセキュリティシステムです。
メールに掲載されているリンク先のURLや添付ファイルがマルウェアであっても、PPAPの場合は感染を未然に防止できません。
メールアイソレーションを導入することで、メールに記載されたURLをクリックしたり、添付ファイルを開いたりしてもマルウェア感染を防止してくれます。セキュリティを意識せず、安全に添付ファイルを開けるため、業務生産性も上がるでしょう。
業務でメールを活用し続けるならば、PPAPの代替策として利便性が高いメールアイソレーションの導入がおすすめです。
PPAPとは、メールで添付ファイルを送信する際に、1通目でパスワード付きzipファイルを送り、2通目のメールでそのパスワードを知らせる手順です。セキュリティソフトがうまく機能しない場合がある、暗号強度が弱いと効果が薄い、メール盗聴に効果がないなどの問題が多く、現在では廃止が進められています。
PPAPの代替手段として、メンロ・セキュリティのメールアイソレーション導入をおすすめします。メール経由のマルウェアをすべて排除し、メールの使い勝手を変えずに安全なコンテンツだけをユーザーに渡すため、添付ファイルを安全に開封可能です。
Posted by Menlo Security on 4月 18, 2023
Tagged with
Cybersecurity Strategy
Menlo Securityの製品やソリューションなどに関するお問い合わせをご希望の場合は、フォームにご入力いただき、送信してください。 また、ご意見・ご要望などがございましたら、お気軽にお問い合わせください。