アステラス製薬が「脱PPAP」に思う
アステラス製薬はメールにおけるパスワード付きZIPファイル(暗号化ZIP)の送受信、いわゆる「PPAP」の廃止を13日発表した。同社内から社外への送信メールでは19日以降、社外から同社の担当者宛に送られた受信メールでは11月1日以降、それぞれ暗号化ZIPを利用不可とする。「Emotet(エモテット)」をはじめとするマルウエア(悪意のあるプログラム)の流行などを踏まえ、脱PPAPに踏み切ることでメールのセキュリティーを強化する。
暗号化したZIPファイルをメールに添付して送信、その後パスワードをメールで送信する一連の流れを指してPPAPと言います。
ゼロ年代に自社でISMSを取得した際はこの手法が情報漏洩を防ぐ有効な手段とされていたのですが、最近は有効な手段ではないだけではなく、セキュリティリスクを高めるとも言われています。
有効な手順ではないという理由としては、パスワード送信メールを暗号化ZIPを送信したメールに、返信する形で送信するため送信先間違いのダブルチェックにはならないということ。本来は、別メールにすることによって2回チェックするから間違った人に贈る可能性が下がるに違いないという話なんですが人間楽な方に流れますからね。。。
セキュリティリスクを高める理由としては、暗号化ZIPにすることによってファイルの中身をメーラーなどが読み取れず、受信時のセキュリティチェックが甘くなるという点が挙げられます。
上記のような理由からここ最近は脱PPAPの動きがみられます。また、Gmailなんかでも暗号化ZIPの中にZIPファイルを保存し添付すると必ずはじかれたり、暗号化ZIPをつけているだけではじかれるケースもあるようです。
上記の記事によるとアステラス製薬あてに暗号化ZIPを添付してメールを送っても届かなくなるようですし、逆にアステラス製薬の方は暗号化ZIPを送信できなくなるようです。
「Emotet(エモティット)」も暗号化ZIPを攻撃手段として利用しているようなので、そういったセキュリティの穴になりそうなシステムは利用しないというのが、企業の責任になってくるのかもしれないですね。
この記事が気に入ったらサポートをしてみませんか?