- ホーム >
- 製品&ソリューション >
- 仮想デスクトップ >
- 最近よく耳にする「PPAP問題」、その本当の意味や深刻なリスクをご存知ですか?
最近よく耳にする「PPAP問題」、その本当の意味や深刻なリスクをご存知ですか?
1. 最近よく耳にする「PPAP問題」とはそもそも一体何か?
最近ITやセキュリティの世界で話題になっている「PPAP問題」のことをご存知でしょうか? (もちろん、“I have a pen〜”のアレのことではありません……)。ここで言う「PPAP」は、以下の頭文字から取った略称になります。
一見するとこの方法は有効なようにも思えますが、実は多くの抜け道があり、現在ではセキュリティ専門家の間では「情報漏えい対策としての有効性はほとんどない」というのが定説になっています。そこであえて「PPAP問題」というキャッチーな名前を与えた上で、現在さまざまな専門家やセキュリティ機関がその危険性を周知する活動を展開しています。
セキュリティの世界ではかなり以前から問題視されていたPPAPですが、その名が広く一般に知れ渡ったのは、2020年11月に政府が「中央省庁においてPPAP方式によるファイルのやりとりを禁止する」との方針を発表したことがきっかけでした。コロナ禍に伴うリモートワークの広がりで、世間一般的にもPPAP方式でファイルをやりとりする機会が増えていたという背景もあり、一気にPPAP問題がクローズアップされることになりました。
P:パスワード(Password)付きZIPファイルをメールで送りました!
P:パスワード(Password)を別のメールで送りました!
A:暗号化
P:プロトコル(Protocol)
ファイルの受け渡しを社外の相手と行う際、「パスワード付きZIP」でファイルを暗号化してメールに添付する方法は、現在でも多くの企業が情報漏えい対策として採用しています。たとえメールに添付したファイルが通信経路上で盗聴されたり、意図せず間違った相手に送ってしまったとしても、ファイルにパスワードが掛かっていれば中身を見られることはありません。ただし、パスワードが同じメールの本文に記されていては情報漏えい対策としての意味がありませんから、別のメールであらためてパスワードを送ることで漏えいを防止できるという理屈です。P:パスワード(Password)を別のメールで送りました!
A:暗号化
P:プロトコル(Protocol)
一見するとこの方法は有効なようにも思えますが、実は多くの抜け道があり、現在ではセキュリティ専門家の間では「情報漏えい対策としての有効性はほとんどない」というのが定説になっています。そこであえて「PPAP問題」というキャッチーな名前を与えた上で、現在さまざまな専門家やセキュリティ機関がその危険性を周知する活動を展開しています。
セキュリティの世界ではかなり以前から問題視されていたPPAPですが、その名が広く一般に知れ渡ったのは、2020年11月に政府が「中央省庁においてPPAP方式によるファイルのやりとりを禁止する」との方針を発表したことがきっかけでした。コロナ禍に伴うリモートワークの広がりで、世間一般的にもPPAP方式でファイルをやりとりする機会が増えていたという背景もあり、一気にPPAP問題がクローズアップされることになりました。
2. PPAPで情報漏えい対策をしているつもりが逆にリスクを増大させている?
では、具体的にPPAPの何が問題視されているのでしょうか?以下に主だった問題点を幾つか挙げてみました。
つまりPPAPによるファイルのやりとりが常態化していると、セキュリティ製品によるファイルのチェックが無効化されてしまう危険性があるのです。実際のところ、この抜け穴に着目したサイバー犯罪者たちが、ランサムウェアなどのウイルスを潜ませたファイルをパスワード付きZIPで暗号化した上で、フィッシングメールに添付して送り付ける手口を頻繁に用いるようになっています。
こうしたセキュリティリスクを回避するために、メールに添付されたZIPファイルをすべて隔離したり、受信を拒否するといった対応策をとっている企業もあります。しかしここまでやると、今度は「ファイルを送ったはずなのに、実際は届いていない」といったような情報の行き違いが頻発し、業務に大きな混乱を来してしまいます。
ファイルの送信相手にパスワードを別途伝えるのであれば、本来はファイルを送るのに用いた方法とは異なる手段を用いなければ、厳密な意味での情報漏えい対策とは言えません。具体的には、ファイルをメールで送ったのであれば、パスワードの方は電話やチャットなどメール以外の手段を用いて伝えるべきです。
つまり、盗聴対策としてのPPAPはほとんど意味を成さないというのが実際のところなのです。
しかし多くのユーザーは、先に送信したメールの宛先をあらためて確認することなく、メーラーの「返信」ボタンを押すなどして同じ宛先にまたパスワード通知メールを送ってしまうのが実際のところでしょう。ましてや、システムで自動的に同じ宛先にパスワード通知メールを送信しているようなケースでは、もはや誤送信対策としての意味もまったく成していません。
こうして見ると、誤送信対策としてのPPAPにも実際はあまり期待できそうにありません。
せっかく導入したセキュリティ製品が台無し?
アンチウイルスをはじめとする一般的なセキュリティ製品は、メールに不審なファイルが添付されているのを発見すると、その中身を解析してウイルスが潜んでいないかどうかチェックします。しかしファイルがパスワード付きZIPで暗号化されていると、パスワードを入力しないと中身を見ることができません。つまりPPAPによるファイルのやりとりが常態化していると、セキュリティ製品によるファイルのチェックが無効化されてしまう危険性があるのです。実際のところ、この抜け穴に着目したサイバー犯罪者たちが、ランサムウェアなどのウイルスを潜ませたファイルをパスワード付きZIPで暗号化した上で、フィッシングメールに添付して送り付ける手口を頻繁に用いるようになっています。
こうしたセキュリティリスクを回避するために、メールに添付されたZIPファイルをすべて隔離したり、受信を拒否するといった対応策をとっている企業もあります。しかしここまでやると、今度は「ファイルを送ったはずなのに、実際は届いていない」といったような情報の行き違いが頻発し、業務に大きな混乱を来してしまいます。
盗聴対策としての有効性はほとんどなし?
万が一メールの通信経路上で添付ファイルが盗聴されて盗まれてしまったとしても、「同じメールにパスワードが記されていなければ大丈夫」というのがPPAPの理屈です。しかしよくよく考えてみれば、ファイルを添付したメールも、その後パスワードを通知するためのメールも、かなり高い確率でインターネットの同じ通信経路を辿って送られます。従ってファイルを添付したメールがもし盗聴されれば、同じくパスワード通知メールも高い確率で盗聴されるだろうと考えるのが自然です。ファイルの送信相手にパスワードを別途伝えるのであれば、本来はファイルを送るのに用いた方法とは異なる手段を用いなければ、厳密な意味での情報漏えい対策とは言えません。具体的には、ファイルをメールで送ったのであれば、パスワードの方は電話やチャットなどメール以外の手段を用いて伝えるべきです。
つまり、盗聴対策としてのPPAPはほとんど意味を成さないというのが実際のところなのです。
誤送信対策としてのPPAPもあまり期待できない?
百歩譲って、別のメールでパスワードを送ることは、間違って本来意図した相手とは異なる送信先にメールを送ってしまう「誤送信」による情報漏えい対策には一定の効果が期待できます。ファイル添付したメールの宛先をたとえ間違ってしまったとしても、その後別のメールであらためてパスワードを通知するようルール化しておけば、誤送信先にファイルだけでなくパスワードまで届いてしまうリスクを多少なりとも減らすことはできるでしょう。しかし多くのユーザーは、先に送信したメールの宛先をあらためて確認することなく、メーラーの「返信」ボタンを押すなどして同じ宛先にまたパスワード通知メールを送ってしまうのが実際のところでしょう。ましてや、システムで自動的に同じ宛先にパスワード通知メールを送信しているようなケースでは、もはや誤送信対策としての意味もまったく成していません。
こうして見ると、誤送信対策としてのPPAPにも実際はあまり期待できそうにありません。
3. ビジネス向けクラウドストレージサービスを活用してPPAP問題を解決!
では一体どうすればこのPPAP問題を回避しつつ、安全にファイルデータをやりとりできるようになるのでしょうか?
幾つかの方法が考えられますが、ここでは最もシンプルかつ確実な方法として「クラウドストレージ」を用いる方法を紹介したいと思います。
ファイルを送る際にメールに直接添付するのではなく、まずクラウドストレージにファイルをアップロードし、それをダウンロードするためのURLのみをメールで知らせるようにすれば、PPAPにまつわる問題の大半を解決できます。近年のビジネス向けクラウドストレージサービスは強力なセキュリティ機能やアクセス制御機能を備えていますから、PPAP方式よりはるかに安全にファイルをやりとりできます。
例えば、弊社が提供する米シトリックス社のクラウドストレージサービス「Citrix ShareFile」を使ってファイルを相手に受け渡す場合は、アップロードしたファイルを右クリックするだけで簡単にダウンロード用のURLを生成できます。あとはそのURLを送信相手にメールで通知すれば、ファイルを直接メールに添付することなく受け渡すことができます。
もし万が一メールが盗聴されてダウンロードURLが漏えいしてしまったり、メールを間違った相手に送信してしまった場合もすぐにURLを無効化できますし、「誰がいつどのファイルを参照・ダウンロードしたか」の詳細な履歴が残りますので、不正な利用を防止することができます。
またCitrix ShareFileのクラウドストレージ内に保管されるファイルは、すべて自動的にウイルスチェックが行われるため、パスワード付きZIPファイルを悪用してウイルスチェックをすり抜けようとするサイバー攻撃の手口も効果的に防ぐことができます。
さらにもう一歩進んで、メールを一切介さずに、Citrix ShareFileのクラウドストレージに直接アクセスすることでファイルをやりとりするようルール化すれば、メールの盗聴や誤送信にまつわる情報漏えいリスクを完全に一層できます。その際、Citrix ShareFileアカウントのアクセス権限を適切に付与することで、ファイルやフォルダ単位でよりきめ細かなアクセス制御もできるようになります。
このようにCitrix ShareFileを活用することでPPAP問題を解決できるだけでなく、より安全かつ柔軟な情報共有を通じて社内外のコラボレーションを活性化し、ひいては自社のビジネスを成長させることが期待できます。このほかにもCitrix ShareFileにはさまざまな機能や導入効果がありますので、興味をお持ちの方はぜひ弊社まで気軽にお問合せいただければと思います。
幾つかの方法が考えられますが、ここでは最もシンプルかつ確実な方法として「クラウドストレージ」を用いる方法を紹介したいと思います。
ファイルを送る際にメールに直接添付するのではなく、まずクラウドストレージにファイルをアップロードし、それをダウンロードするためのURLのみをメールで知らせるようにすれば、PPAPにまつわる問題の大半を解決できます。近年のビジネス向けクラウドストレージサービスは強力なセキュリティ機能やアクセス制御機能を備えていますから、PPAP方式よりはるかに安全にファイルをやりとりできます。
例えば、弊社が提供する米シトリックス社のクラウドストレージサービス「Citrix ShareFile」を使ってファイルを相手に受け渡す場合は、アップロードしたファイルを右クリックするだけで簡単にダウンロード用のURLを生成できます。あとはそのURLを送信相手にメールで通知すれば、ファイルを直接メールに添付することなく受け渡すことができます。
さらにもう一歩進んで、メールを一切介さずに、Citrix ShareFileのクラウドストレージに直接アクセスすることでファイルをやりとりするようルール化すれば、メールの盗聴や誤送信にまつわる情報漏えいリスクを完全に一層できます。その際、Citrix ShareFileアカウントのアクセス権限を適切に付与することで、ファイルやフォルダ単位でよりきめ細かなアクセス制御もできるようになります。
このようにCitrix ShareFileを活用することでPPAP問題を解決できるだけでなく、より安全かつ柔軟な情報共有を通じて社内外のコラボレーションを活性化し、ひいては自社のビジネスを成長させることが期待できます。このほかにもCitrix ShareFileにはさまざまな機能や導入効果がありますので、興味をお持ちの方はぜひ弊社まで気軽にお問合せいただければと思います。
最新のVDI環境を体感できる「VDIイノベーションセンター」
「VDIイノベーションセンター」は仮想デスクトップに関わるソフトウェア、ハードウェア、周辺ソリューションに触れることができる体験型ショールームです。JR秋葉原駅から徒歩2分。見学ご希望の方は、お気軽にお申し込みください。
来場のご予約はこちら
来場のご予約はこちら
関連リンク
