このコーナーでは「暮らし、仕事、社会」、私達の身近なところにあるデジタル化の動きをご紹介しています。
リスナーの皆さんも、日々お仕事でメールでのやり取りをされていると思いますが、そんな業務メールのやりとりで、PPAPを利用されたことのある方、多いのではないでしょうか。
メール送信時に暗号化ZIPファイルと開封パスワードを別々に送るしくみのことで、これまでに多くの企業が採用してきた方法ですが、近年、その危険性を危惧する声が上がっています。一昨年には、政府が「中央省庁においてPPAP方式によるファイルのやりとりを禁止する」との方針を発表し、このPPAPの危険性が大きく注目されるようになっています。
そこで今回は、PPAPの危険性とその対策について、実際に、脱PPAPを実現しているキヤノンマーケティングジャパン株式会社のIT本部 IT運用統括部 IT運用技術課の宮本知美さんにお話を伺いました。
PPAPの名前にはこんな由来があったそうです。
「PPAPと聞くと、数年前に流行りましたお笑いネタを思い浮かべる方も多いと思いますが、実はメールの送信時に添付ファイルをZIP暗号化して送信するPPAPの由来は、あのお笑いネタから来ているそうです。PPAPという言葉そのものがどこかプロトコルのようだといったような意見があったようで、そこから採用されているといった背景になっています。
とはいえ、PPAPというのは、ちゃんとした略語にはなっておりまして、まず、最初のPがパスワード付きのジップファイルを送付するという意味のP、2つ目のPがパスワードを送付するのP、3つ目のAは暗号化のA、PはプロトコルのPという形になっていて、手軽にできるファイル送信や誤送信対策の仕組みとして、日本の企業の多くで利用されていたんですけれども、やはり2020年頃から見直しの動きが高まっていて、この動きを脱PPAPという風に言われています」
PPAPのネーミングは、以前話題になったピコ太郎さんの『ペンパイナッポーアッポーペン』からきていたんですね。ではなぜ、このPPAPを見直す動きが高まっているのでしょうか?
「PPAPが話題になったそもそものきっかけというのがアメリカで、ウイルスであるエモテットというものの注意喚起があったというところがあります。PPAPでメール送信するというのは、添付ファイルをZIPの暗号化して送付する形になるのですが、ZIPで暗号化されたファイルというのは、セキュリティツールで検疫ができないので、それが悪用されてしまい、エモテットの被害拡大に繋がりました。なので、PPAP自体はそもそもメールを送るという方法ではあるのですが、受信側にもたらす問題が発端で話題となって、問題として扱われています。
また、送信側では、パスワードを受信者に伝えたりですとか、受信者が暗号化のファイルの複合を行うといった送信者と受信者、両方に手間が生じたりですとか、パスワードを伝える手段として、メールで送ることが多くて、メールの経路の安全性に起因する盗聴のリスクがあることなどが問題として挙げられています」
現在、脱PPAPの動きは進んでいるのでしょうか?
「2020年頃から言われ始め、2021年はそうは言ってもまだどうかなというような様子見の企業が多い印象でしたが、やはり今年に入ってからは、取引先がZIPファイルの受け取りを拒否します、というようなご連絡をいただくことも多く、やはり弊社の中でも業務影響が出始めていると考えています。そのため、やはり他の企業さんも含めて、本格的に検討を始める企業が増えたと感じています。この動き自体は企業規模にもあまり関係なく大企業でも中小企業でも同様かという風に感じています」
宮本さんの会社でも見直しは必須と考えていて、今年から脱PPAPに大きく舵を切っているそうです。具体的には、どういった対策を取られているのでしょうか?
「受信側に対しては、対策は現在検討している状況です。送信側の対策については、 コスト、利便性、誤送信対策の可否、あとは使い勝手といった主に4つの視点で検討して、バランスの良い対策である添付ファイルをダウンロードリンク化するという形の方式を採用しました。添付ファイルダウンロードリンク化というのは、メールにファイルを添付して送信すると、自動的にファイルを分離して、サーバーへアップロードし、受信者がファイルをダウンロードできるURLをメール本文に自動挿入するという形になります。この機能であれば、別のアプリケーションやファイルの転送用のクラウドサービスでアクセスする必要がなくなりますので、従来メールを送付してファイル添付するのと同様に操作性が変わらずに利用することができます。弊社では、自社製品であるメールセキュリティ対策製品、GUARDIANWALL(ガーディアンウォール)でこの添付ファイルダウンロードリンク化を採用しています」
新しいシステムに変えてから、社内や社外からはこんな反応があったそうです。
「まず、社内の利用者からはメールの送信が楽になったとか、やっぱりセキュリティの観点から後からファイルの公開をとり消せるといった点が良いとか、これまでパスワードを後から送っていたっていうところの手間が減って、楽になったというような、おおむね、良好な反応をいただいています。ただやはり、一部のお客様、受信者の方からは、うまくURLからダウンロードできないとか、ワンタイムのパスワードが届かないといったような、一部、お客様の環境に起因する場合もありますが、少しネガティブな意見もいただいており、そういった点は、製品そのものの機能改善やお客様向けのヘルプを用意するといったことで、対応が必要だと感じています」
宮本さん、貴重なお話、ありがとうございました。
2022
11.28
PPAP問題とその対策について