【PPAP問題と情シス】パス付きZIPのメール添付は制限すべき？PPAP廃止のヒント

パスワード付きZIPファイルの受信制限をスタートする企業が増えています。今回は、自社ではどうすべきか悩んでいる情シスの方に、受信制限をスタートするためのヒントをご紹介します。
なお、このnoteは主に中堅・中小企業の新任情シスや兼任情シス向けの内容です。

1. PPAPを廃止すべき理由とは？セキュリティと運用の両面にデメリットあり

メールでファイルを送信する際に、
　①圧縮・暗号化したファイルをメールに添付し送信
　②次のメールでパスワードを送信する
……こんなルールで運用しているとしたら、実は貴社のセキュリティを悪化させている可能性があります。

このようなメール送信方法は、かつてはセキュリティの向上を目的として取り入れられてきましたが、もはや現在は「PPAP(※1)」と揶揄され、誤ったセキュリティ対策と認識され、政府(※2)を始め多くの企業が廃止するようになりました。

※1：「Password付きZIPファイルを送ります」・「Passwordを送ります」、「Angouka(暗号化)」・「Protocol(プロトコル)」の略
※2：平井内閣府特命担当大臣記者会見要旨 令和2年11月24日

セキュリティを悪化させる主な理由としては次のようなものが挙げられます。

①Emotet（エモテット）への感染リスクを高める
昨今、パスワード付き圧縮ファイルを悪用したマルウェア「Emotet」の被害が拡大しています。Emotetはメールに添付されることが多く、パスワード付き圧縮ファイルのメール受信を制限していないと、社員が攻撃メールの暗号化ファイルを開けてしまいEmotetに感染…という恐れがあります。

②圧縮ファイルからのマルウェア検知が困難
もし、暗号化ZIPファイルにマルウェアが含まれていても、圧縮された状態ではマルウェアを検知することができません。圧縮された状態では、やすやすと社内PCに入り込むことができてしまいます。

③暗号化しても漏洩リスクは残る
たとえZIPファイルとパスワードを別送しても、1通目のメールを不正に窃取された場合には、2通目も同様に窃取するのは技術的に難しくありません。そして、暗号化ZIPファイルにはパスワード入力回数制限がないため、総当たり攻撃ツールで復号される危険性は残ったままです。

また運用面でも次のようなデメリットがあると考えられます。

①メール送信時の手間が増える
利用者にとってはZIPファイルとパスワードを別送しなければならず、手間がかかってしまう。自動的に添付ファイルを暗号化し別メールでパスワードを送信するソフトウェアもあるが、利用やメンテナンス、アップデート等の際にコストが発生する。管理者にはその分の運用負荷が増える。

②デバイスにより開封できない場合がある
デバイスが多様化している中、パスワード付きZIPは開封できない可能性もある。その場合には、ほかの方法を用意しなければならない。

2. PPAP廃止に向けてすべきこと

このように情シスにとって、セキュリティ・運用ともに悪影響しかないPPAPは廃止に向けて進めたいところでしょう。実際に数多くの企業がすでに「パスワード付き圧縮ファイルの受信制限」「パスワード付きZIPファイルの利用廃止」といった文言を含むタイトルでプレスリリースを発表するなど、その動きは広まっています。

実際にプレスリリースを参考にしたい方は、ぜひ、上記の文言でWeb検索してみてください。多くの企業がどのようなリリースを出しているのか知ることで、貴社でもPPAP廃止に向けた足がかりにできるのではないでしょうか。

次に、情シスがPPAP廃止に向けて考えるべきことを整理しました。

（1）安全で手間がかからないファイル共有方法を検討する
メールにてファイル共有を急に中止するのは難しいかもしれません。そこで、ファイルを共有するための方法として、次のような方法の中から自社で実現可能な方法を選ぶことになります。

①オンラインで共有可能なストレージを活用する
Microsoft 365 を利用しているのであれば、SharePointやOneDriveのファイルにアクセス権を付与し、そのURLを送信するという方法があります。Google Workspace のドライブや、ほかの安全性が確保されているビジネス向けのオンラインストレージを活用することでも、同様に共有可能となります。

②コラボレーションツールで共有する
メールで共有するのではなく、Microsoft Teams、Slackなど、関係者のみアクセスできるコラボレーションツールならば、セキュアな環境下でファイル共有が可能です。
特に、同一のコラボレーションツールを用いている社内やグループ会社、関連会社であれば、ファイル共有を移行することがおすすめです。下記は Teams を利用している例ですが、Teams で共有したファイルは Teams 上でも共同編集が可能となり、ファイルは SharePoint でシームレスに管理することができるようになります。

（2）パスワード付き圧縮ファイル送受信の廃止（社内）
ファイル共有の方法が確立できたら、まずは社内からメールでのパスワード付き圧縮ファイル送信を廃止することがおすすめです。社内向けのメールを社外に送ってしまうという誤送信リスクも軽減することができるようになるでしょう。

（3）パスワード付き圧縮ファイル受信の制限（社外向け）
Microsoft 365（Exchange Online）や Google Workspaceでは、パスワード付き圧縮ファイルの受信制限が可能です。しかし、社外向けに一方的に受信を廃止してしまうことで、コミュニケーションが難しくなってしまう場合もあるので、段階的に実施することが求められます。
社外向けに同意を得て代替手段を確立する方法、関係各社向けリリースを配信することなどを検討する必要があるでしょう。

おわりに

今回は、パスワード付きZIPのメール添付を制限する方法について整理しました。自社からの送信だけではなく、受信についても注意が必要ですので、ぜひPPAP廃止に向けて検討を進めてみてはいかがでしょうか。

＜関連情報＞

PPAP廃止のススメ〜 Microsoft 365 による安全なファイル共有〜

また、ソフトクリエイトは「情シスレスキュー隊」にて、情シスに役立つ様々な情報を発信しています。こちらもぜひご覧いただき、情シス業務にお役立てください。

情報システム部の悩みや課題を解決する、情シスサポートメディア | 情シスレスキュー隊