PPAPとは?
長らく日本のビジネス現場を悩ませていた、日本特有のメールセキュリティ「PPAP」が終了する気配になってきました。「PPAP」とは以下の頭文字です。
- P…Password付きZIPファイルを送ります
- P…Passwordを送ります
- A…Angoka(暗号化)
- P…Protocol(プロトコル)
つまり「メールでデータを送る時は、ファイルをZIPで暗号化して、パスワードは別メールで送れ!」です。
PPAPの問題点
しかし、ZIPファイルとパスワードを分けてメールしても、誤送信対策的な意味は全く無いですよね。仮に登録したメールアドレスが間違っていたら、ファイル本体とパスワードの両方が間違えたメールアドレスに送信されるのですから。
さらに意味が無いどころか、相手に迷惑をかける危険な行為です。普通、受信するメールサーバーではウイルスチェックを自動でしているのですが、ZIPファイル化してしまうとウイルスチェックは働かないので通ってしまいます。これも昔から言われていたことです。
PPAPの背景
こんなことになってしまった背景として、2010年前後から日本の大企業で流行した「Pマーク」取得があると言う人もいます。Pマークが政府調達への参加条件になったのをきっかけに、企業間取引にも必須条件になるケースが激増した頃の話です。
別にPマーク(JIPDEC)は「PPAPでやれ!」と言ってる訳ではありません。むしろ具体的な方法論は何も言わないのですが、メール運用の規定を作らなければ認証されません。この運用規定を、企業内での職務分掌の関係から法務部やコンプライアンス部などが生兵法で作ってしまいました。
規定なので、意味不明な「PPAP」でも遵守しなければコンプライアンス違反になってしまいます。大抵の日本企業では、規定は作るより変える方が大変です。よって現場レベルでは
申し訳ありません、弊社の規定でPPAPでやらざるを得ないんです
規定じゃ仕方ないですよね
の会話が定番となっていきました。
マルウェアの流行
しかし本当にヤバイ事態になったことが変化の波になりました。PPAPが、2019年頃から流行したマルウエア「Emotet(エモテット)」を感染させる手口に使われ大流行したのです。(パスワード付zipファイルとパスワードの両方をメール送信し、通常のPPAPの流れでマルウエアが含まれるZIPファイルを解凍させて侵入する!)日本の「PPAP」が世界的に有名になってしまったこともあって、「誰でも知ってる日本の大企業」の複数が、Emotet(エモテット)の社内ネットワークへの侵入を許してしまっています。
PPAPの廃止、受け取り拒否へ
流石に「Emotet(エモテット)」の大流行を受けて、アメリカ国土安全保障省のサイバーセキュリティー・インフラストラクチャーセキュリティー庁から「人に迷惑かけるな! ZIPファイルを添付されたメールなんてブロックしろ!」と怒られました。そのせいかは知りませんが、官公庁も「PPAPは廃止」の方向性を決定しています。文部科学省は2022年1月4日から、ファイル送受信にクラウドストレージを稼働させています。
2022年秋の段階で、民間企業では「パスワード付きZIPファイルは受取拒否」の流れに入ってます。あの有名なソフトバンクも、2022年2月から「PPAPを禁止」しているようです。メールサーバーの設定で受取拒否しますので、個別例外判断の入る余地はありません。今日では個人情報保護に真剣に取り組まない企業はそれだけで大きなリスク要因ゆえに、当然の如く右にならう対応になるでしょう。
PPAPの代替手段
「PPAP 代替手段」で検索すると、さまざまなサービスが検索結果に出てきます。定番はクラウドストレージサービスやファイル転送サービスですが、サービスの種類が多すぎて自社にとってよいサービスはどれなのか、比較検討に時間を要するうえに、導入後に「これじゃなかった…」となることもしばしばあります。
当社は、お客様の状況に合わせたサービス提案が可能です。ぜひお気軽にご相談ください。