PPAPの危険性

PPAPとは?

PPAPとは、「Passwordを付けたファイルを添付でおくりますね!」「Passwordはこちらです!」と別々のメールで送る…ZIPなどを使ったファイル暗号化(Angouka)の手順(Protcol)の略です。日本のビジネスマンでは、未だに常識だと思っている方も少なくないですが…とっても危険な手法です。

本稿では、その危険性を簡単に解説しておきます。

PPAPの危険性

PPAPには大きく3つの危険性があります。

1つ目は暗号の脆弱性です。元々PPAPは、メールを途中で傍受されたり…誤送信した際に中身を見られないようにする為に広まった手順です。しかし一度暗号化したファイルを第三者に入手されてしまうと、取り返すことができません。何度でも好きなだけパスワードを試すことができます。ググってみると「パスワードがわからなくなった時のための解析ツール」などは簡単に見つかります。「弊社の略称と4桁の日付です」みたいな雑なパスワードはすぐに解析されてしまいます。

2つ目は情報漏洩の危険性です。企業としてせっかくメールの監査(Google WorkspaceでいうとVault)やDLP(Data Loss Prevention…Google Workspaceでも日々DLP機能強化が進んでいます)を使っていても、意味がなくなってしまいます。個人情報を暗号化ZIPにして、しっかり長いパスワードをつけて外部へ送信しても検出できません。

3つ目はウィルス感染の危険性です。企業としてせっかくメールシステムにEPP(Endpoint Protection Platform…ウィルス感染防止の仕組み)を導入していても…ウィルスを暗号化してあると検出ができません。間違って開いたら感染してしまう可能性があります。

安全にファイル送信するには?

「PPAP対策」などでググると…たくさんのサービスが見つかります。

最も一般的な方法は、Googleドライブなどのクラウドストレージを利用することです。ファイルをクラウドストレージ上に配置し、送信したい相手に伝えてダウンロードしてもらうやり方です。

PPAPと違い、何度もPasswordを試す相手はブロックする…などの対策も取れますし、ダウンロード回数や期限を設定することもできます。間違いに気がつけばすぐにダウンロード禁止にすることもできます。
ファイルアップロード時にDLPで内容をチェックしたり、アップロード・ダウンロード両面の監査もできます。

受信に関しては一番効果的なのは「暗号化圧縮ファイルは受信拒否する」ことです。Google Workspaceでは簡単に拒否設定ができます。ただしこれをやる前には、社内外に「暗号化ファイルの送受信を禁止したこと」を周知し理解を求める必要があります。

Google WorkspaceでPPAP対策するには?

Google Workspaceのさまざまな機能で、PPAP対策を行うことができます。

対策方法の例については…別の記事でご紹介していこうと思います。