―PPAPの問題点と現状―

ビジネスシーンで長らく使われてきたファイル送信手法「PPAP（Password付きZIPファイルをメールで送り、後から別メールでパスワードを送信する方式）」が、近年厳しい批判にさらされています。

背景には、セキュリティリスクの増大と業務効率の低下が挙げられます。特に2020年頃からは、サイバー攻撃の高度化や情報漏えい事件の多発により、政府機関や大手企業を中心に「PPAPの廃止」が急速に進みました。

このブログではPPAPの問題点と現状を整理し、PPAP対策として簡単に導入できるファイル転送サービスの紹介を含め、詳しく説明します。

目次

1. PPAPの問題点と現状
2. 端末認証付きのパスワード通知方法 「DAPP」
3. 「DAPP」を活用する際のポイント
4. まとめ

1. PPAPの問題点と現状

PPAPとは、「P」asswordつきファイルと「P」asswordを送ることで「A」暗号化されたZIPファイルを送る「P」rotocol、の略です。

この、「1通目のメールで暗号化されたZIPファイルを送り、2通目のメールでパスワードを送付する」という方法は広く使われていますが、PPAPが問題視される最大の理由は、「パスワードとファイルを同じメール経路で送る」ことによる、セキュリティ対策としての不十分さです。

1通目と2通目のメールが同じ経路で送付されるため、両方のメールが盗聴される状態であれば、容易にファイルを横取りされてしまいます。また、パスワード付のZIPファイルはウイルススキャンを回避するため、マルウェア感染のリスクも無視できません。さらに、受信者側に解凍やパスワード入力の手間をかけるなど、利便性の面でも課題が残ります。

これらの理由から、2020年11月には内閣府・内閣官房からPPAP廃止の発表がありました。

盗聴の危険性や政府の方針という観点からもPPAPに頼らないファイルの送付方法を検討する必要があります。

2. 端末認証付きのパスワード通知方法 「DAPP」

この問題に対してCYLLENGEはSmooth File（スムースファイル）の端末認証付きのパスワード通知方法「DAPP」を用いた解決策をご提案しています。

Smooth Fileは法人向けのセキュアクラウドファイルサーバで、大容量のファイル転送機能とクラウドファイルサーバ機能を兼ね備えています。中でも、大容量ファイル転送機能で利用可能な、端末認証付きのパスワード通知方法「DAPP」によるファイル転送は、PPAP対策として多くの企業・公的団体にて現在もご利用いただいております。

DAPPでは、Smooth Fileのリンクにアクセスした受信者自身がブラウザの画面上でパスワードを発行します。このパスワード発行と同時に、閲覧している端末に自動で専用のカギが保管される仕様になっています。受信者はカギの存在を意識する必要もなく、端末が制御されるようになります。

従って、悪意のある第三者がたとえメールを盗聴したとしても、カギを持っていない第三者ではファイルを横取りされることができなくなります。

3. 「DAPP」を活用する際のポイント

DAPPはパスワードを発行した端末を識別することで第三者からのファイルの盗聴を防ぐことが可能ですが、さらに、第三者からのアクセスがあった時点で、正規の受信者側でそのファイル転送の通信をロックすることも可能となっています。

この多重防御の機能を有効活用いただくためのポイントとしては、スパムフィルタやネットワーク機器等のポリシー設定など、事前にメール環境のご確認をいただけると、導入がスムーズになります。

特に、メールのスパムフィルタ機能が、メールに記載されたURLにアクセスしてチェックする、という機能を持つ場合が多くございます。ファイル転送サービスを導入される際によくあるケースですが、この機能により「第三者からのアクセスがあった」と誤認識される可能性がございますので、事前にメール環境をご確認いただくことを推奨いたします。

4. まとめ

PPAPは一時代の標準でしたが、今や「使い続けること自体がリスク」とも言える時代です。

Smooth Fileの「DAPP」は、従来の送信方法が抱えるセキュリティ課題を解決し、利便性と安全性を両立する新たな手段として有効です。

ぜひ以下の資料をダウンロードして、詳細な機能をご確認ください。