昨今、話題となっているPPAPは、パスワード付きZIPファイルを送信し、その後パスワードを別送するメール送信手法である。PPAPはこれまで情報漏洩を防ぐためのセキュリティ対策として省庁・企業を問わず広く活用されてきたが、セキュリティリスクが指摘され、PPAPの利用は問題視されている。
 

PPAPのセキュリティリスクはメールの受信と送信それぞれに

　PPAPのセキュリティリスクは、メールの受信と送信それぞれにある。まず、メール受信での大きなリスクは、ファイルの中身をチェックできず、マルウェア対策が行えないことにある。そのため、Emotetなどのメール攻撃にPPAPが悪用されることがあった。アンチウイルス製品など多くのセキュリティツールではパスワード付きZIPファイルの中身をチェックできないケースが多いため、ZIPファイルを開いた瞬間に感染したというケースも発生している。
 

　続いて、メール送信の代表的なリスクとしては、（1）2通のメールを同一経路で送る場合、第三者に盗聴されてしまう、（2）簡単なパスワードの場合、容易にパスワードの解析ができてしまう、（3）誤送信対策としては意味がない――などが挙げられる。そもそもパスワード付きZIPファイルの送受信には、手間も時間もかかるという課題もある。
 

脱PPAPを実現するには、メールの受信・送信の双方での対策が必要

　内閣府と内閣官房が2020年11月にPPAPの廃止を打ち出し、その後、大手企業を中心に脱PPAPが進みつつある。脱PPAPを実現するには、メールの受信・送信の双方で対策を行う必要がある。

　まず、メールの受信においては、パスワード付きZIPファイルの中身をチェックできない場合、（1）パスワード付きZIPファイルを受け取らない、（2）パスワード付きZIPファイルの中身をチェックできる製品を導入する――といった対策を行うことが重要である。
 
　次に、メールの盗聴やパスワードを解析されてしまうといったPPAP送信時のリスクには、（1）パスワードレスでの自動暗号化、（2）ファイル転送サービス、（3）オンラインストレージ、（4）添付ファイルのダウンロードリンク化、（5）メール自体の暗号化、（6）ファイル管理（誤送信や第三者への転送時にファイル削除）―-と、複数の対策を組み合わせて行うことで対処することなども検討いただきたい。

メールセキュリティ対策のプラスαとして脱PPAPの検討を

　脱PPAPが注目されている状況もあり、PPAPを禁止し、オンラインストレージのみで運用している組織もある。だが、オンラインストレージの利用を制限している組織もあることから、組織外とのファイルの受け渡しにおいてPPAPを廃止し、全てをオンラインストレージに一本化するのは困難といえよう。オンラインストレージの活用によって脱PPAPを実現できても、不正アクセスや共有設定のミスによって、氏名や住所、生年月日、メールアドレスといった個人情報漏洩など別のリスクが発生しうる。こうした場合も想定し、第三者は閲覧できないようファイル自体を管理する製品も活用するとより安心だろう。

　PPAPは、もともとメールセキュリティ対策から始まったものである。現在、PPAPのセキュリティリスクが問題視されているからといって、他のメールセキュリティ対策が疎かになっている状況で脱PPAPを進めるのは得策とはいえない。マルウェア感染などが起こっては本末転倒である。あくまでもメールセキュリティ対策のプラスαとして脱PPAPの検討を進めることが重要である。