PPAPとは何か?PPAPの基礎知識やメールに関する不安や悩みを解決する方法

INDEX

    PPAPとは何か知らないまま、未だにPPAPと同様の手法でメールによる添付ファイルの送受信を行っているケースがあります。

    悪質なマルウェアである「エモテット」に感染する、感染させてしまう可能性があるとも知らず、PPAPを使いつづけるのは危険です。

    今回はPPAPの基礎知識やメールに関する不安や悩みを解決する方法についてお話します。


    PPAPの基礎知識

    はじめにPPAPに関する基礎知識を説明します。

    PPAPとは

    PPAPとはPre send Password file After send Passwordの略称です。

    1.ファイルをパスワード付きzipファイルで暗号化する
    2.暗号化したファイルをメールの添付ファイルで送信する
    3.zipファイルのパスワードを別のメールで送信する
    4.メールを受け取った側は添付ファイルをパスワードで復号化する

    上記がPPAPの流れであり、元々は情報漏洩やセキュリティを考えた手法だったと言えます。実際にパスワード付きで暗号化されたzipファイルを添付したメールのみが盗み見、もしくは添付ファイル単体が流出したとしても、ファイルの中身は見られないということが強みとされていました。

    PPAPの課題や問題点

    PPAPの課題や問題点をいくつか挙げてみます。

    ・別メールでパスワードを送付してもアカウントを乗っ取られていた場合意味がない
    ・暗号化したファイルはセキュリティチェックやウィルスチェックが甘かった
    ・エモテットなどマルウェアの蔓延を招いた

    そもそも、メールが盗み見される状況では、アカウントかパソコンそのものが乗っ取られている可能性があるため、別メールでパスワードを送付しても情報漏洩の危険性は高いままです。

    そして、暗号化したファイルによるメールでのファイルのやりとりが日常化したことで、添付ファイルに潜んだエモテットなどマルウェアを安易に開いてしまい、マルウェアに自ら感染して周囲に蔓延する結果となりました。

    PPAPは使うべきではないのか?

    はっきりと言えば、PPAPは使うべきではありません。そもそも、メールに添付しなければファイルを送受信できない時代ではありませんし、サイバー攻撃はこうした「当たり前の作業手順や常識」を悪用するからです。

    また、添付ファイルの代わりにURLを送付することでインターネット上のサーバーからファイルをダウンロードする方法もありますが、この方法も必ずしも安全とは言えません。エモテットのように添付ファイルにマルウェアが潜むケースだけでなく、ダウンロードしたファイルにマルウェアが潜むケースもあるからです。

    PPAPだけでなく、ファイルのやりとりを行うこと自体を根本から考え直すか、実質的な効果のあるセキュリティ強化を行うことが求められます。

    メールに関するありがちな不安や悩み

    次にメールに関するありがちな不安や悩みをいくつか見てみましょう。

    アカウントの乗っ取りやなりすまし

    PPAPが問題視されている理由でもあるアカウントの乗っ取りは、メールを送受信するアカウントが乗っ取られてしまうことで、暗号化された添付ファイルと復号化するためのパスワードが見られてしまうという不安や悩みと言えます。

    同様に昨今猛威を振るっているエモテットのように、なりすましによる被害も不安や悩みと言えます。乗っ取られたアカウントで取引先や顧客、もしくは同僚や上司・部下、最悪の場合家族にまでマルウェアを感染させてしまうリスクにつながります。

    メールの盗み見やデータの改ざん

    メールの盗み見やデータの改ざんもメールに関する不安や悩みと言えます。メールの盗み見をされてしまうことで、別のメールアドレスから、さも本物であるかのようになりすまし、振る舞うことで、添付ファイルを開かせたり、コミュニケーションで情報を搾取したりされてしまうのです。

    データの改ざんも同様であり、乗っ取ったアカウントやパソコンを操作し、メールの内容を改ざんとなりすましをされてしまい、マルウェアを含んだ添付ファイルの送付、もしくは悪意のあるURLの記載など被害が拡大する原因となりました。

    個人情報および顧客情報、機密情報の漏洩

    ファイルをなぜ暗号化し、安全に届けたいかと言えば、外部に見られては困る情報だからです。そのため、メールの送受信において個人情報や顧客情報、機密情報が漏洩すること自体が不安や悩みと言えます。

    また、メールの添付ファイルに個人情報を添付していないからといって、情報漏洩をしないと甘く考えてはいけません。前述したアカウントの乗っ取り、なりすまし、データの盗み見、データの改ざんによって、パソコンを乗っ取られてしまえば、メールに添付していない情報へのアクセスも可能となるからです。もし、社内や組織内の重要なファイルへのアクセス権限を持つ役職や担当者のパソコンが乗っ取られてしまえば、サイバー攻撃を行うような悪意のある第三者に好き勝手されてしまうことになります。

    メールに関する不安や悩みを解決する方法

    次にメールに関する不安や悩みを解決する方法をご紹介します。

    根本的なセキュリティ対策の改善を考える

    まず前提として、PPAP云々ではなく、根本的なセキュリティ対策の改善を考えましょう。アカウントを乗っ取られない、メールを盗み見られないなど、社内や組織内のセキュリティ体制を強化できるツールやソフトを導入すべきです。

    同時に信頼できるクラウドストレージ、もしくはオンプレミスのサーバーなどの領域にあるファイルに直接アクセスするような形に切り替えるのもおすすめです。その際、ファイルをアップロードした段階でファイルの暗号化、ファイルのセキュリティやウィルスチェック、アクセス権限の割り当てやIPアドレス制限が行えるとなお良いでしょう。

    サイバー攻撃、情報漏洩、内部不正の3つの視点で対策する

    PPAPの問題は結局のところ、サイバー攻撃、情報漏洩、内部不正がそれぞれ影響しているものとも言えます。この3つの視点で対策することが大切であり、そもそも機密情報や個人情報へのアクセスを制限する、取扱いのルールを決めるなどを考えるようにしましょう。

    例えば、PPAPの場合もアカウントやパソコンの乗っ取りがない、データやファイルの情報漏洩や内部不正ができないような環境であれば、エモテットのようなマルウェアが入り込む余地はありません。サイバー攻撃、情報漏洩、内部不正ができないようなセキュリティツールやソフトを導入すると同時に、従業員のセキュリティリテラシーの向上に取り組むことが重要です。

    実ファイルや実データによるやりとりの禁止や廃止を検討すべき

    一昔前であれば、手元のパソコンにデータがなければ閲覧や編集、作業がしにくかったのも事実です。しかし昨今ではクラウドストレージにあるファイルに直接アクセスすることも可能ですし、特別なソフトウェアがなくても、ブラウザさえあれば閲覧や編集作業も可能な仕組みがあります。

    もちろん、ファイルの暗号化やウィルスチェックは必須ですが、可能であれば実ファイルや実データによるやりとりの禁止や廃止も検討しましょう。取引先やユーザーにおいても、安全なクラウドストレージにある安全なファイルを閲覧できるほうが安心です。

    同時にファイルの操作や閲覧履歴、アクセス履歴など、監視や追跡も可能になることから、さらに情報漏洩や内部不正がしにくい環境を整えることにもつながります。


    まとめ:メールだけでなく、根本的なセキュリティ対策を強化しよう

    今回はPPAPの基礎知識やメールに関する不安や悩みを解決する方法についてお話しました。

    未だにPPAPを業務上、当たり前の作業手順として用いていて不安を感じているのであれば、当社の提供するIT資産管理ツール・情報資産管理ソフトである「AssetView」の導入をおすすめします。

    各種サーバー攻撃への対策、情報漏洩対策、内部不正対策が可能な他、社内や組織内のデータやファイル、物理的なデバイスやネットワークの一元管理が可能です。

    その他、Webメールも含めたメールログ管理、ファイルの暗号化とファイルの追跡による情報漏洩対策など、PPAPも含めて根本的なセキュリティ対策の強化につながりますので、ぜひともこの機会にご相談、お問い合わせください。

    お役立ち資料

    • お役立ち資料

      Windows10更新管理の教科書

      資料ダウンロード
    • 市場調査レポート

      小売業のモバイル端末「紛失対策」実態調査
      多店舗展開している小売業、半数以上が「スマホ・タブレットの管理」に不安あり

      資料ダウンロード
    • 製品概要

      すぐわかる!AssetView

      資料ダウンロード

    人気ランキング


    開催イベント

    • 【改訂】ISMS(ISO27001:2022)対策のポイント5選

      常時開催

      【改訂】ISMS(ISO27001:2022)
      対策のポイント5選

    • IT導入補助金2024の攻略法

      常時開催

      IT導入補助金2024の攻略法

    • 情シスが経営層を説得するために押さえておきたい3つのポイントを解説!

      アーカイブ配信

      常時開催

      情シスが経営層を説得するために押さえておきたい3つのポイントを解説!

    • 社内からの漏洩事件多発!AssetViewだから出来る『重要情報』の漏洩対策とは?

      アーカイブ配信

      常時開催

      社内からの漏洩事件多発!AssetViewだから出来る『重要情報』の漏洩対策とは?

    • 情シス担当に調査!SaaS管理をとりまく実態とは?

      アーカイブ配信

      常時開催

      情シス担当に調査!SaaS管理をとりまく実態とは?

    • 金融分野における個人情報保護に関するガイドライン解説セミナー

      アーカイブ配信

      常時開催

      金融分野における個人情報保護に関するガイドライン解説セミナー

    • 「自動車産業サイバーセキュリティガイドライン」の解説から対策まで

      アーカイブ配信

      常時開催

      「自動車産業サイバーセキュリティガイドライン」の解説から対策まで

    • PCログのレポート作成業務を支援!~「Splunk」「ALog」とのスムーズな連携を実現~

      アーカイブ配信

      常時開催

      PCログのレポート作成業務を支援!~「Splunk」「ALog」とのスムーズな連携を実現~

    • 30分で完全理解!~ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー~

      アーカイブ配信

      常時開催

      30分で完全理解!~ランサムウェアの感染防止・感染後の対応・復旧までのケーススタディセミナー~

    • 最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

      アーカイブ配信

      常時開催

      最新事例に学ぶ!情報漏洩を未然に防ぐ「USBメモリー管理」とは?

    • 『内部不正』が起きる要因と対策が分かるセミナー

      アーカイブ配信

      常時開催

      『内部不正』が起きる要因と対策が分かるセミナー

    ハンモックのプロダクト

    • AssetsView Cloud
      IT統合管理ソフトウェア(クラウド)
      VPN不要で、働き方に問わず
      様々な環境下にある端末を一元管理
    • ホットプロファイル
      名刺管理、営業支援ツール
      名刺管理とマーケティング機能が一体化した
      SFA・営業支援ツールの決定版
    • WOZE
      クラウド型データエントリーサービス
      業界最安値で正確かつ迅速に、あらゆる書類をデータ化
    • AssetsView
      IT統合管理ソフトウェア(オンプレミス)
      PCの資産管理や情報漏洩対策を強化する、
      機能が選べるIT統合管理ソフトウェア
    • ホットアプローチ
      フォーム営業ツール
      法人の新規開拓営業に必要な営業先リストと
      自動営業方法をセットにした営業支援サービス
    • AnyForm OCR
      書式を問わないOCRソフト
      これまで実現できなかった、帳票レイアウトが
      非定型な活字帳票に対応できるOCRソフト

    資料一覧はこちら