このページの本文へ

脱PPAP!メール添付ファイルのセキュリティ最新情報

  • 会社の処方箋

ダウンロード資料のご案内

ニューノーマル時代のメールセキュリティ「脱PPAP」
PPAPの課題や、その代替策についてまとめた資料をご提供しています。
ぜひ一度ご覧ください!

2022年11月24日

ビジネスで利用頻度の高い電子メールですが、実はセキュリティの甘いツールでもあります。

電子メールは、平文という形式でデータの送受信を行っています。平文とはテキストの文書であり、例えばWindows標準機能の「メモ帳」でも開くことができる暗号化されていないデータ形式のことです。
しかも電子メールはインターネット上でそのままやり取りされているので、途中で受信して中身を見ようと思えば簡単にできてしまいます。

そこで、せめて添付ファイルの機密性だけでも高めようと導入が進んだのが添付ファイルを圧縮&暗号化して送るという技術(PPAP)です。

セキュリティの切り札にはなれなかったPPAP

PPAPとは、ファイルをメール送信するときにパスワード付きのZIP形式にし、別のメールでパスワードを送信するといった方式のことです。

  • PasswordつきZIP暗号化ファイルを送ります
  • Passwordを送ります
  • Aん号化(暗号化)
  • Protocol

上記のように、どちらかというと日本語での頭文字を並べた略語で、日本固有の名称です。
PPAPというと、某有名曲を思い浮かべる方も多いと思いますが、実はその曲が命名のヒントになったとか。※1

ファイルを暗号化し、パスワードを別に送る。これは一見するとセキュリティが高いように見えますが、実はいくつかのリスクがあります。

どこが危険なのか?

PPAPでのメール送信の流れとリスクは下記のようになっています。

  1. ファイル送信時の作業

    送信側はファイルとパスワードを別々に送る必要があるので作業が煩雑になります。よくありがちなのが、メールアドレスを何度も入力するのが面倒なため、一度送信したメールを再利用してパスワードを送ってしまうケースです。この場合、はじめに送信先を間違えてしまうと対応ができません。
    またパスワードを自動送信するシステムではアドレス間違いによる情報漏えいのリスクがより高くなります。

  2. メール添付ファイルの暗号化

    ファイルは暗号化されますが、暗号化されたファイルはウイルスチェックが困難になります。そのため万一添付ファイルがウイルスに感染していても検出が難しくなります。
    またZIPの暗号化はセキュリティが弱く、ブルートフォース攻撃で破られることがあります。

    • 理論的に考えられるパスワードのパターン全てを入力するしていくという攻撃。総当たり攻撃。
  3. ファイルとパスワードの送信ルート

    ファイルとパスワードをメールという同じ手段・同じ経路で送っていることでセキュリティの低下を招きます。金庫とカギを同じ車に積んで運ぶのと同じようなイメージです。

キヤノンMJグループの対策

キヤノンMJグループでもPPAP方式を利用してきましたが、上記のような課題が問題視されてきたため、よりセキュリティが高い別方式に移行いたしました。
それが添付ファイルのダウンロードリンク化です。

新たな仕組みでは、添付ファイルを直接送るのではなく、ファイルをメール本文と分けた上で別サーバーに格納し、別にダウンロード用のURLをメールに添付して受信者に送ります。こうすることで、セキュアな環境下でファイルを送信することが可能となっています。
また、送信側は一度の作業でメールを送ることができるので、パスワードを別に送る煩雑さがなくなります。

  1. 添付ファイル付きメール送信

    送信者は普通にメールを送るだけです。パスワードを送る必要はありません。

  2. メール本文と添付ファイルの分離

    クラウドサービス(GUARDIANWALL MailConvert)上でメール本文と添付ファイルが分離されます。
    分離されたファイルはダウンロードサイトに格納されます。

  3. ダウンロード用URL付のメール

    メールにはファイルの代わりにファイルダウンロード用のURLが追記され、受信者に送られます。

  4. データのダウンロード

    受信者はURLをクリックしてデータをダウンロードします。
    その際にはワンタイムパスワードを取得することでデータをダウンロードすることができます。

万一の誤送信対策

ファイルダウンロードの設定画面

万一誤送信に気付いた場合は、送信したファイルを削除することも可能です。(図:ファイルダウンロードの設定画面)

誤送信は送信直後に気付くことが多いといわれていますが、上記の方法ではメール送信後に再度宛先を確認し、送信者自身でファイルを公開/非公開にするステップがあります。送信者側でファイルを公開しない限り、受信者側はファイルをダウンロードすることはできません。

個人情報の取り扱いにおける事故において、メールの誤送信によるものが増加しており、2021年は2020年の1.5倍という調査結果が公表されています。※2

完全な対処方法ではありませんが、少しでもリスクを減らすことは可能です。

まとめ

リスクのあるPPAP方式でのファイル添付は、今後減っていくと考えられます。政府では2020年にPPAPの使用廃止方針を公表しており、市場でも一つのセキュリティ対策の指標となってきています。
現行システムの入れ替えはハードルが高い部分がありますが、情報漏えいが起こってからでは取り返しがつきません。
早目の対策をご検討ください。

ソリューション・商品についてのご相談・見積・お問い合わせ

キヤノンシステムアンドサポート株式会社