廃止が進むPPAPの代替案とは？　使い続けるリスクや間違った方法も解説

リスク① 情報漏洩

PPAPを実践しても、情報漏洩リスクへの対策としては不十分です。1通目に添付ファイルのメールを送り、2通目にパスワードを記載したメールを送る方法では、 どちらも同じ通信経路を辿ることになるためです。

例えば、メールサーバーへの不正アクセスや、通信経路上での盗聴により、どちらかのメールが第三者によって傍受されるリスクがあります。その場合、もう一方のメールも容易に入手される可能性も高くなります。つまり、添付ファイルとパスワードが同時に流出するリスクがあります。

リスク② マルウェア感染

PPAPは、メール受信者のマルウェア感染リスクを高める危険性があります。メールの添付ファイルをパスワード付きzipファイルにすると、 メール受信者側のセキュリティ対策ソフトによっては検知がスキップされてすり抜けるため です。受信者がファイルを展開するまでマルウェア感染の有無がわからず、感染リスクが上がってしまいます。

また、「メールに添付されたファイルを開く」ということを日常的に行っていると、添付ファイルを疑うこともしなくなるため、マルウェア感染への危機意識が低くなってしまう点も問題です。

2019年には、メールの添付ファイルやリンク経由で感染するマルウェアのEmotet（エモテット）の感染が広まって問題になるなど、添付ファイルによるマルウェア被害は後を絶ちません。特にEmotetは、重要な情報を盗んだり、他のマルウェアを勝手にダウンロードしたりするなど、被害が拡大しやすいのが特徴です。

リスク③ 信用損失

情報漏洩やマルウェア感染のリスクがあるにもかかわらずPPAPの運用を継続することは、組織にとって深刻な影響をもたらす可能性があります。

先述したように、パスワード付きzipファイルはマルウェアの温床となりやすく、一度でも情報漏洩などの問題が発生すれば、自社や関係先の信用は大きく損なわれるでしょう。

また、 そのような事態が発生した場合、取引先や顧客との関係修復には多大な時間と労力が必要となります。 場合によっては取引の停止や契約の解除などに発展する可能性も否定できません。

さらに、セキュリティ上のトラブルによる風評被害は、新規顧客の獲得にも大きな支障をきたすことが予想され、中長期的な企業の成長戦略にも影響を及ぼすことになります。

あわせて読みたい

• 「PPAPは意味なし」といえる理由と今後のお勧めの対応を解説

代替案① メールセキュリティサービス

メールセキュリティサービスとは、メールを利用する際に直面する様々なリスクへの対策を総合的に講じられるサービスです。クラウドサービス形態でも多く提供されています。

メールセキュリティサービスのメリットは、 マルウェア対策、リンクURLの検査、誤送信対策、迷惑メール排除、暗号化など、複数の対策をまとめて行えること です。

ただし、メールのセキュリティを強固にする際は追加コストが発生する点に注意が必要です。例えば、メールサーバーの連携がスムーズにいかない場合、システムの改修に高額な費用がかかるケースがあります。

また、機能が豊富になるほど、PCの処理速度が遅くなる可能性があることもデメリットのひとつです。処理速度の低下を抑えるには、自社に必要な機能だけが搭載されたサービスを選びましょう。

メールセキュリティサービスの主な商品は、下記の通りです。

• m-FILTER
• safeAttachクラウドサービス
• 使えるメールバスター
• FortiMailセキュアメールゲートウェイ
• Mail Defender

代替案② ファイル転送サービス

ファイル転送サービスとは、インターネット上でファイルを送受信できるサービスです。送信者は送りたいファイルをWebサイト上にアップロードし、ダウンロードURLを受信者へ通知します。受信者はそのURLへアクセスすれば、ファイルをダウンロードできます。

無料で使えるサービスがある点や大容量のデータでも共有できる点 がメリットです。その反面、無料サービスは、セキュリティリスクがある、転送の履歴が残らないといったデメリットがあります。ビジネス用途では有料版を使った方が、セキュリティ面でも安心です。

有料のファイル転送サービスには、主に下記のような商品があります。

• Bizストレージ ファイルシェア
• OKURN
• SECURE DELIVER
• Transfer Center
• クリプト便

代替案③ オンラインストレージ

オンラインストレージ上にファイルをアップロードし、受信者にURLを通知して共有する方法もPPAPの安全性の高い代替案として有効です。

オンラインストレージはアクセスできるユーザーを指定できるため、 安全な環境でファイルを共有できます。 さらに、クラウドサービスなので 自社でサーバーを管理する負担もなく、災害時にはデータのバックアップを取っているため、データ消失のリスク回避にもなります。

注意点として、オンラインストレージはオフラインでは利用できません。また、自社で管理するオンプレミス型のファイルサーバーと比べると、カスタマイズの自由度に限りがある点に注意が必要です。

オンラインストレージには、下記のような商品があります。

• Box
• Dropbox
• Fileforce
• Google Drive
• OneDrive

代替案④ ビジネスチャット

ビジネスチャットは、メールより気軽にテキストベースのコミュニケーションが取れるツールです。チャットにアップロードしてファイルを共有できます。ビジネスチャットは基本的に無料で利用可能です。

やり取りしたいユーザーを招待してコミュニケーションを始めるため、 誤送信などのトラブルを回避できる メリットがあります。さらに、やり取りや操作のログが残るので、セキュリティ面でも安心です。

その反面、コミュニケーションに特化したツールであるため、一般的に送受信できるファイル容量に制限があります。大容量のファイルを送る機会が多いと、使いづらさを感じるでしょう。また、各企業のセキュリティポリシーによっては、社外とチャットでやり取りを禁止しているケースもあります。

ビジネスチャットの商品例は、下記の通りです。

• Chatwork
• Microsoft Teams
• Slack

危険な方法① ファイルを暗号化せずに送信

「暗号化によってマルウェア検知できないのであれば、ファイルを暗号化せずに送信しよう」と考えるケースもありますが、セキュリティ上危険であるため、避けましょう。

総務省の「 地方公共団体における情報セキュリティポリシーに関するガイドライン 」においても、機密性2以上の情報は暗号化すべきと明記されています。

機密性2以上の情報とは、機密文書には該当しないものの、すぐに一般公表する予定はない情報を指します。業務上扱うファイルのほとんどが暗号化の対象に当たるでしょう。

危険な方法② ダウンロードリンクをメールで送信

ファイルのダウンロードリンクをメールで送信する際には、適切なセキュリティ対策が必要です。

メール自体はIPアドレス制限などの制御が難しく、リンクが第三者に盗み見されるリスクがあります。そのため、アクセス可能なアカウントを制限したり、追加の認証を設けたりするなどのセキュリティ対策と組み合わせることが重要です。

これらの対策を講じないと、情報漏洩のリスクが高まってしまいます。