全面禁止が進むPPAP!お客様にPPAPの代替手段をご提案しました!
サービス紹介
2021.10.14
ボンジョルノ!iSTAFF第2グループ所属の黄です。
今回はiSTAFF Weeklyサービスをご契約中のお客様からいただいたご相談についてご紹介します。
目次
iSTAFF Weeklyサービスとは
毎週決まった曜日にお客様先に1日(9:00~18:00)常駐し、システム関連対応を行うサービス。
専任のシステム管理者を雇うほどじゃないけど、システムに詳しい人に頼みたいことがある、システム管理者が多忙で少し手伝ってほしいといったお客様におすすめです。
従業員のITヘルプデスク、ソフト・ハードウェア管理、アカウント管理、配線など業務はお客様先によって様々。もちろん、ITに関する相談なども承っております。
今回は、その中でPPAP廃止を検討されているお客様への提案内容についてご紹介したいと思います。
PPAPとは
「PPAP」とはファイルをメールで送信する際のルールのようなもので、日本では広く使われています。
- P:Passward付きzipファイルを送ります
- P:Passwardを送ります
- A:An号化(暗号化)
- P:Protocol(プロトコル=通信するときの手順や決まり事)
ピ○太郎で一世を風靡した動画にかけて命名されたと言われるメールの送信方法で、誤送信による情報漏えいを防ぐ方法として知られてきました。
PPAPのメリットは以下です。
- 比較的手軽に送信情報の暗号化を行うことができる
- パスワード付きzipファイルを添付した自動メールを誤送信してしまったとしても、2通目を手動で送る運用であれば、機密情報の漏えいを未然に防げる可能性がある
コロナ禍で非接触型の仕事環境が必要となったことから、印刷物よりも電子ファイルやデータを使ったやり取りが増えました。必然的にパスワード付きzipファイルをメールで送る機会も増えています。
内閣府と内閣官房でのPPAP廃止宣言
ながらく日本で使用されてきたPPAPでしたが、2020年10月に日立がPPAP禁止宣言を行い、11月には平井卓也デジタル改革担当大臣が記者会見で内閣府と内閣官房でのPPAP廃止を宣言しました。
PPAPの問題点とは?
なぜ日立や政府はPPAPを禁止したのでしょうか。その理由はセキュリティの脆弱性にあります。PPAPの問題点としては以下のようなものがあげられます。
- 攻撃者が1通目を取得した場合、パスワードが記載されている2通目も取得できる可能性が高い
- パスワード付きzipファイルは、パスワードの入力を何度でも試行できるためツールによる解析が容易である
- マルウェアフィルタ(ウイルス対策ソフト)はzipファイルを解析できないため、ウイルスがすりぬけてしまう
- 受信者は2通目の開封パスワードを探す手間がかかる
- スマートフォン端末からの閲覧が不便
公にPPAPの問題点が浮き彫りになった今、企業はPPAP禁止の動きに対策を講じる必要が出てきました。冒頭のお客様もこのような時代の流れに対応するべく、代替手段を探しておられました。
PPAPの代替手段
PPAPの代替手段として考えられるのは以下のようなものです。
◆S/MIME(認証・証明書)
電子署名や暗号化の仕組みで、暗号化のレベルもパスワード付きzipファイルより強力。ただし、導入には送信側と受信側の両方で事前に環境を整える必要があるうえ、電子証明書発行に手間とコストがかかる。
◆クラウドストレージサービス
ファイルをクラウド上のウェブサーバに保管するサービス。容量の大きいデータにも対応でき、高セキュリティを提供しているサービスも多くある。ファイルを相手先に届けるときは、まずファイルをストレージサービスにアップロードし、共有リンクを取得する。取得したURLをメール等で相手に送信し、ダウンロードしてもらうといった流れになる。
◆クラウド型メールフィルタリングサービス
送信したメールを相手が受信する前に、一旦クラウドに保管することでセキュリティを高めるサービス。クラウドに保管している間に第三者によるチェックを行ったり、CC、BCCの間違いを修正することができる。今までのメール送信方法とさほど変わらないので、違和感なく導入できるのもメリット。
実際の提案内容のご紹介
お客様のご要望や懸念事項をヒアリングし、PPAP代替手段それぞれのメリット、デメリットを説明させて頂いた上で、今回はクラウド型メールフィルタリングサービスをご提案しました。
@Securemail Plus Filterというサービスで、複数あるフィルタリング機能から必要な機能を選び、使用者に合ったルール設定ができます。以下が主な機能です。
| 機能名 | 詳細 |
| 送信ブロック | 特定送信者からのメールや添付ファイルの有無などのルールを設定し、特定の送信をブロックする |
| 送信保留 | メール送信を一定期間(1分~72時間)保留する |
| 第三者チェック | 送信メールを一旦クラウドに保管し、第三者(上長など)によるチェックが完了してから送信することができる |
| TO/CCアドレスのBCC化 | TO、CCアドレスを強制的にBCC化する |
| 添付ファイルのダウンロード | 自動的に添付ファイルとメール本文を分離し、ダウンロードURLとパスワードを相手先へ送信する |
| ダウンロード時の通知 | 添付ファイルをダウンロードURLにして送った場合、受信者がファイルをダウンロードすると、メール送信者に通知メールが送られる |
| 添付ファイルの暗号化 | 自動的に添付ファイルを暗号化する |
| 暗号化パスワードの自動送信 | パスワードを自動生成し、送信先に自動送信する |
| 拡張子の変更 | .zipを.zip_などのように暗号化後の拡張子を変更して送信する |
@Securemail Plus Filter
https://securemail-plus.com/series/filter/feature/
まとめ
今回はお客様にPPAPの代替手段をご提案した事例をご紹介しました。
ITは日々進化しているので、専任のシステム管理者がいない企業や組織のお客様から多種多様なセキュリティ対策について相談されます。アイクラフトでは、お客様が扱うファイルの機密度、ビジネス要件に合わせて、最適な解決策を共に検討いたします。
PPAP運用からの脱却など、お困りの際にはぜひお気軽にお問い合わせください。
https://www.icraft.jp/contact/
サービス紹介の関連記事
