情報漏えい対策

セキュリティのPPAPとは?そのリスクと代替手段

法人のお客さまに起こりがちな状況

機密情報を相手に送るとき、パスワード付きZIPファイルを送りその後別メールでパスワードを送る。

この流れを経験していない人はほぼ皆無ではないでしょうか?

こうした一連の手順はセキュリティ業界で「PPAP」と呼ばれています。

しかし当たり前のように普及しているこの手順、現在ではその効果に疑問符が付いています。この「PPAP」が持つリスクと代替方法、そして必要な対策についてご紹介します。

そもそもセキュリティにおけるPPAPとは?

PPAPといえば一般的に数年前に流行したピコ太郎の持ち歌ですが、セキュリティ業界においては以下を指します。

Password付zip暗号化ファイルを送ります

Passwordを送ります

Aん号化(暗号化)

Protocol

この手順が一般化した背景には、Pマーク認証取得のための要件である「メール送信時の個人情報を含む添付ファイルに対するセキュリティ対策」があると言われています。

まずはメールでデータを送る際パスワード付ZIPファイルにすることが添付ファイルに対するセキュリティ対策と認められたことが大きな影響を与えました。

手軽に相手に個人情報を送る手段として、メールでのパスワード付ZIPファイル運用が一般化されました。その際のパスワードの送付については、電話での口頭伝達やFAXによる送付など別チャネルが想定されていました。

しかし本来は他の方法によって送られるべきパスワードがその運用方法の煩雑さから徐々に安全性よりも運用コストの低減に焦点が当てられ、最終的に「別のメールであればパスワードも送ってよい」という規定で運用する企業が増えたことが現状の体制を作り上げたようです。

PPAPに存在するリスク

PPAPの流れによって発生するリスクで最も大きいのは情報漏えいリスクです。

「宛先が間違っていた場合にはパスワード付ZIPファイルとパスワード両方が間違った宛先にそのまま届いてしまう可能性が高い」ことになります。

ほとんどのケースで「パスワード付ZIPファイル送付先」と「パスワード送付先」が返信機能などを利用して同一のアドレスに送付されていることで、実態としてチェック機能が果たされていないのです。

結果として安全管理機能が形骸化し、本来の目的が果たされないことが発生してしまいます。

これを避けるためには下記のような方法があります。

  • パスワード送付メールのアドレスを返信機能等を用いず作成する
  • 別チャネルから送付する

しかし実際はメールを個別で作成する手間の問題や、別チャネルでの連絡手段を持たないなどの課題がありほとんど実現していないのが現状となります。

別チャネルから送付する場合もパスワードを電話を用い口頭で伝えるのは聞き間違いなどの可能性がある他、お互いが通話できるタイミングを示し合わせる必要があるなどのハードルがあります。

また、ビジネスの場合は最近FAXがない企業も多く、お互いの連絡手段がメール、電話以外に存在しないケースもあります。

もうひとつの大きなリスクが「添付ファイルのウイルスチェックができないこと」です。最近流行の兆しがあるIcedIDでは、あえて攻撃用のコードが仕込まれたファイルをパスワード付ZIPファイルで送り、PPAPのやり方で送ったりもするそうです。

こうした場合現在のウイルス対策ソフトでは暗号化ZIPに対してのウイルスチェックができません。しかし受け取った側としては「添付ファイルはすべてセキュリティソフトがチェックしてくれている」「マルウェアがわざわざパスワードを入力しないと開けないような手間がかかるファイルで送られてくるわけがない」と言った考えを持っていることが多いためマルウェア感染のリスクが高まってしまうことが想定されます。

PPAPの代替手段として使えるツール

PPAPの代替手段としてはいくつか現実的なものがあります。

  • 認証機能つきファイル転送サービスの利用
    ビジネス用のサービスも複数存在しており、古くから多くの企業での利用実績があり、比較的ハードルの低いサービスであると言えます。送信ログの保管やデータの自動削除などセキュリティに配慮した機能が付いているサービスも多く、大きなサイズのファイルを送付する際にも活用できます。
  • クラウドストレージサービスの利用
    認証機能つきのサービスを利用することで、セキュリティレベルを担保した運用が可能です。アクセスログ管理やダウンロード制限にも対応したサービスもある他社内のファイルサーバとして活用することもできるため多用途での運用が可能です。
  • chatwork、slackなどのチャットツール上でのファイル送受信
    通信自体が暗号化されていることが前提とはなりますが、相手も特定できるため誤送信のリスクもかなり低減できます。また送信後に取り消し(送信ファイルの削除)も行えるサービスも多いため、誤送信時のリスクも若干低減することが可能です。ただし前提条件として自社、相手企業の両方でアカウントを持っている必要があるので他の方法と比較してややハードルは上がる形になります。

いずれの方法であっても、セキュリティよりも運用の手間を優先するという方向に意識が向いてしまうと徐々にセキュリティレベルが下がってきてしまいます。

セキュリティと手順の簡略化によるリスクをてんびんにかけ「なぜこの手順が必要なのか」をきちんと社内に周知しておくことがセキュリティレベルの維持に大事な考え方となります。

ファイル受取時のリスクと対策

前述のIcedIDは、パスワード付ZIPファイルを利用している関係でウイルス対策ソフトでは攻撃用コードの検出が難しいケースがあります。

また、それ以外の方式を利用しているケースでも相手方から送られてきたファイルに攻撃用コードが含まれていないという保証は常に0にはなりません。

攻撃側は常に人間の心理の裏を読み「これは大丈夫だろう」と受け取り側が思い込んでしまう方法を考えています。

この先オンラインストレージサービスやチャットツールを利用したマルウェア配布が行われる可能性も0とは言えないのです。

相手が普段とは違う流れで不明なファイルを送ってきた場合には十分に注意し、なるべくは毎回セキュリティソフトによるスキャンをかけたうえで開くことが望ましい姿勢です。また、パスワード付ファイルについてはパスワードを入力して回答した後のファイルについてもセキュリティソフトによるスキャンを実行するのが無難です。

前提としてセキュリティソフトによる防御がありますが、そのうえでもゼロデイ攻撃など攻撃者が検知できないコードを仕込んでいる可能性は十分にあります。

企業側としては個人の端末だけではなくサーバ側などに対してもセキュリティ対策のソリューションを導入し、二重三重の対策をしておくことが重要です。

情シス担当は運用方法の見直しと同時にシステムレベルでの対策を

PPAPのリスクは徐々に周知され、運用が見直される流れとなってきました。しかし攻撃側は常に新しい方法を模索しており、運用だけで100%防ぐことは至難の業と言えます。

だからこそセキュリティソフトによる防御力を高め、運用での取りこぼしに対するセーフティネットとして機能させる必要があります。

最後のとりでとしてしっかりとセキュリティ体制を検討・構築するようにしましょう。

トレンドマイクロからのアドバイス

今回ご説明したように、PPAPはセキュリティ上の懸念点が多く、その危険性に対する認識も徐々に広がっていることから今後徐々に運用方法が変わっていくと思われます。しかし、PPAPは日本であまりにも一般化し過ぎているためになかなかなくすことが難しい運用方法であることも事実です。

トレンドマイクロではPPAPによって発生するリスクに対しても対応できるさまざまなソリューションを提供しています。自社の体制をご確認のうえ、不足している点がありましたらぜひご検討ください。

軽くて・強くて管理負担が少ない中小企業向けクラウドセキュリティ

ウイルスバスター™ビジネスセキュリティサービス(VBBSS)軽くて・強くて管理負担が少ない中小企業向けクラウドセキュリティは現場から求められる「速さ」と「防御力」を両立させるとともに、管理者が求める「導入のしやすさ」や「管理のしやすさ」にもこだわったセキュリティ製品です。

従業員数の増減に合わせてPC1台から手軽に導入可能でありながら全PCのセキュリティを遠隔管理できます。

「クラウド型」のため管理サーバも不要で、管理者、ユーザ共に自宅などのテレワーク環境で作業するケースにも対応した管理サーバも不要な管理コスト軽減に貢献できるソリューションとなっています。

管理サーバ要らずの「サーバ向けクラウド型セキュリティ」

Trend Micro Cloud One - Workload Security™はWEBサーバ、特にパブリッククラウドへのサイバー攻撃に対してオールラウンドで対応できるソリューションです。

1ライセンスから導入可能で月額課金という料金体系のため、イニシャルコストを抑えやすくスモールスタートが可能となっています。

CAS: 高度な脅威からクラウドメールサービスのメールやファイル共有サービス上のデータを保護

Trend Micro Cloud App Security™(CAS)はMicrosoft 365のメールサービスやファイル共有サービス等でやりとりをするメールやファイルに含まれるランサムウェアや標的型サイバー攻撃によく利用されるOfficeファイルをはじめとするビジネスでよく使用される形式のファイルに潜む不正プログラムを検出します。

ドキュメントエクスプロイトの検出技術と挙動分析により未知の不正プログラム、不正URLも検出できるメール・コラボレーションセキュリティ製品で人間のセキュリティ意識と合わせ効果的にランサムウェアを防御することができます。

※すべての未知の脅威に対応するものではありません

また、トレンドマイクロではExchange Onlineを使用しているお客さま向けに今まですり抜けていた脅威をスポットで可視化するためのサービスとして以下のサービスをご提供しております。

ご活用いただける環境にありましたらぜひお試しください。

Exchange Onlineのクラウド上にあるメールボックス内に残っている脅威を可視化

Trend Micro Security Assessment Serviceは企業が直面する高度な脅威から効果的に守られているかどうかを確認できるMicrosoft 365のメールサービス (Exchange Online) 向けの無料メールセキュリティ評価サービスです。

検出した脅威情報を詳細なレポート形式でご提供し昨今の脅威からどの程度保護されているかが検証可能となっています。

この課題を解決する製品

導入前の製品や購入に
関するお問い合わせ
ご担当者様の課題解決を電話やメールで受け付けます。
製品や購入に関するご不明点がある方はお気軽にご相談ください。

導入前の製品や購入に関する
お問い合わせ

オンライン見積り
トレンドマイクロのセキュリティ対策製品のお見積りを
オンラインでご確認いただけます。

オンライン見積り