2020年末位に内閣府より提唱された「PPAP問題」当時の我々にとっては衝撃と「そりゃそうだ」のため息が漏れたトピックでした。この造語は聞いたことあるなって人も少なからずいるとは思います。概ね当時、この問題の説明会などをすると…
「ヒソヒソ…ピコ太郎…クスクス」
って毎回耳にしていたのは、もはやいい思い出となっています。今回はそんなPPAP問題の概要に触れつつ、対応方法などのトレンドを紹介する記事になります。プライベートのメールにも活用が出来ると思いますので参考程度にお読みください。
PPAP問題の概要
めちゃくちゃざっくり言うと、以下になります。
「メールに暗号化したZipファイルを添付して送って、間髪いれずに暗号化のパスワードを送る方法は、セキュリティ的にだめだよね」
それぞれの頭文字をとって「PPAP」と名付けられました。「え?セキュリティ施してますよ?何が問題なんですか!?」って思う方いらっしゃると思います…しかし、ファイルをZipにすること自体がめちゃくちゃ危ないのです。
暗号化Zipファイルの落とし穴:セキュリティを貫通する
業務レベルで利用されているメールはMicrosoftが大半だと思うんですけど、Microsoftと言ったらセキュリティレベルは世界水準ですし、メールボックス認証に対しても、受信に対してもセキュリティ(ウィルススキャン等)を予め施していますので、結構安心感あるんですよね。
しかし、その強固なセキュリティ網をZip暗号化をしたが故に通り抜けてしまう場合があるのです。そうなると、暗号化したZipファイルの元のファイルが、たまたまウィルスに感染していた場合は、ウィルスごと暗号化Zipで包んで送ってしまっている危険な状態になってしまいます。
サーバー上でのスキャンを抜けてしまう可能性がありますが、解凍、アクセスした段階でスキャンが走るので、エンドポイントセキュリティはすくなくとも各端末に搭載することをお勧めします。
パスワードを間髪入れずに送る落とし穴:パスワードがバレバレ
同メールアドレス同士でやり取りをしている中、ファイル添付したメール→パスワードが送られたら…状況を知らない第三者ですら、すぐに気が付きます。
と悪用する第三者はそのやり取りを監視してますので、簡単に気付いてしまい、最悪なことにそのパスワードを使い、簡単に解除が出来てしまいます。悪意のある第三者は局部的に攻撃するよりかは、前後関係の監視も行いますので、この方法はあまり好ましくないですよね。
現在、一般的に代替として活躍しているのは「携帯番号宛に認証コードをSMSで送る」方法ですね。これだと本人性の確定が出来るのと、別の経路で情報を与えるので仮にハッキングを受けていたとしても比較的安全にやりとりが出来るという考え方になります。
それまで常識とされていたことが覆ることは結構ある
「え…Zip化してパスワードすぐ送ったら危なくない?」とずっと個人的には疑問に思っていたことを正式に問題化したのがこの「PPAP問題」です。確か…発端はMicrosoftのガイドライン変更だったと思います(間違ってたらすいません)、昨今ネットワーク環境が整いクラウドストレージなどが普及したのを皮切りに考え方と方向性が変わったという内容だったと思います。
Microsoftが提唱している方法とは
「オンラインストレージ上にファイルをアップロードして、その共有リンクをメール等で送信してくださいね。」
実際自分も仕事もプライベートもこれを使ってます。(結構前からですけども)有事の際はどうするの?という疑問にMicrosoftは
「いやいや!メールが流出したらリンク無効にしなさいよ。元ファイルも消してください。大丈夫、我々のセキュリティ強いんで!!」
と公式のブログなどで回答してました。(要約してます)例えばonedriveの場合でしたらアクセスしたユーザーのログが残りますし、知らないユーザー、デバイスからアクセス出来ないように設定もできます。なのでかなり安全に利用が出来ると言えます。
2024年現在の代替案とは
現在多く出回っている代替案は
①オンラインストレージにファイルをアップロード
②共有リンクを作成しメールで送信
やはりMicrosoftが提唱している方法が結構多いです。特にクラウドストレージサービスが充実していますので、踏み台としてはonedrive以外でも選択肢が増えたのはいいことだと思います。ただ、共有ファイルを開く際のパスワードを未だに間髪いれずに同じメールアドレス同士やり取りをしている企業さんは多いですね。
アクセス条件をしっかり指定してあればこの方法でも特に問題はないと思います(それだったらパスワード自体もいらないのでは?と混乱してしまいますが)onedriveを利用しているユーザーの場合は下記の設定方法をおすすめします
+おすすめのonedrive設定は
③共有方法:特定のユーザー指定
④パスワード:ワンタイムパスコード
onedrive(business)では共有相手の指定が出来ます。ここで開封できるユーザー(特定のユーザー)を予め設定すると、Microsoft側からワンタイムパスワードが発行され、相手側に自動で送ってくれます。確か15分くらい有効なランダムなコードになります。
これだといちいち違う経路からパスワードを送り付ける必要もないし、再発行もMicrosoft側でやってくれますので、非常に便利です。現在Outlook等でファイルをドラッグ&ドロップした場合は、onedrive経由か、添付か自由に選ぶことも出来ます。その際に相手先の権限設定も選択できるので、非常に便利です。
onedriveの取り扱いで重要なこと
1.必ず共有期間を設定する
2.期間を過ぎたら対象ファイルを移動、もしくは削除する
3.誤送信には最新の注意を払う
概ね5営業日を最長にしてます。重要なファイル場合は1日に設定した上で、先方のアクセスが確認出来たらすぐにファイル自体をローカルに移動させます。仮にリンクが突破されたとしても大元のファイルがなければ安全です。
結構多いのは誤送信してしまうケースです。誤送信だけならいいんですが、共有設定の段階で間違ったアドレスを入れてしまっているケースが稀にあります。その場合は気づいた段階でファイルを移動、削除するしかありません
こればっかりは取り返しが付きづらい問題になります。誤送信先への根回しや、本人確認をするしか漏洩防止が出来ない状況になりますので、誤送信、誤設定には最新の注意を払ってください。
まとめ
PPAP問題が世に現れてから、今まで推奨されていた方法が覆されたわけですが…これは仕方がないことだと思います。まだまだ文化レベルだと歴史が浅いものですので…どちらかというとIT業界自体、まだまだ黎明期なのかなと個人的には感じています。ITの様々な定義については「柔軟に臨機応変に理解対応する力」が重要なんだなあと日々思うのです。
以上、PPAP問題の恐ろしさと対策についてでした。