情報掲載日:2021年4月15日
情報更新日:2021年8月2日

添付ファイルのZIP暗号化(PPAP)問題の
見解と代替手段のご提案

2020年11月に平井デジタル改革担当相が霞が関での利用を廃止すると会見したことで注目を集めた添付ファイルのZIP暗号化(いわゆる“PPAP”)ですが、メール送受信者の手間や、セキュリティ上のリスクがあると従来より問題視されている一方、手軽にできる「誤送信対策」として、日本国内で多くの企業・団体が採用しています。
当社製品であるGUARDIANWALLも、「誤送信対策」として長年に渡り自動ZIP暗号化機能を提供しており、政府の会見後に多くのお問い合わせをいただきました。
PPAPに関しては、お客さまの業務やセキュリティポリシーに合わせて最適な対策をとる必要があると考えます。以下に当社の見解をご案内します。

添付ファイル自動ZIP暗号化(PPAP)システムの
目的とは?

GUARDIANWALLでも採用している、従来の電子メールの添付ファイル自動暗号化システムには、機能面/利用面で以下のメリットがありました。

機能面
  • 誤送信対策(パスワードを別で送付することにより、送信直後にミスに気づくケースが多い)
  • 経路上の盗み見防止(そのままで送るよりは安全)
  • 誤送信時でも暗号化による拡散の防止(一般の人に解読は難しい)
利用面
  • 自動添付ファイル暗号化(手動でZIP暗号化する手間を軽減)
  • 自動パスワード生成(手動での安易なパスワード設定や使いまわしの防止)
  • ホワイトリスト(関係会社間などの経路が安全なネットワークでの暗号化除外)
  • メール添付により手間なく、相手先にファイル送付が可能

しかし今回、一部の機能について、機能の不完全性の指摘や運用の手間、形骸化が問題視されました。

添付ファイルZIP暗号化(PPAP)に代わる
ファイル共有のしくみ

PPAPに代わるファイル共有のしくみを検討するにあたっては、「誤送信対策をどうするか」と「送信手段をどうするか」の大きく2つの視点で検討する必要があると考えます。
一般的に代替案としてよくあげられるのは以下4案ですが、前述の2つの視点から見ても、どの手段もメリット・デメリット双方があり、懸念点もあります。

  1. 別経路でのパスワード送信
  2. オンラインストレージの利用
  3. ファイル交換サービスの利用
  4. 添付ファイルのダウンロードリンク化
  一般的な代替案 できること メリット デメリット
1 別経路でのパスワード送信(ZIP暗号化) メールの添付ファイルを暗号化し送付
パスワードを別経路で送付
  • メールの利便性そのままにファイル共有が可能
  • 受信者側の環境を気にすることなくファイル送付が可能
  • 誤送信対策としても機能する
  • メール経路上での盗聴リスクがある
  • 大容量ファイルの送信はメーラーの制限を受ける
  • パスワード通知、保管、定期的な変更などに手間がかかる
  • ZIPファイルの受け取りを拒否している企業もある
2 オンラインストレージの利用 クラウドストレージに利用IDでログインし、ファイル共有
  • 大容量ファイルの受け渡しが可能
  • アクセス権制御によって編集/閲覧権限管理が容易
  • ID登録が必要なため、受信者側のID登録が手間
  • Webダウンロードを禁止している企業もある
  • メールと添付ファイルが分離されるためやりとりの履歴が追えない
  • 一般的に高コスト
  • 誤送信対策は別のしくみが必要
3 ファイル交換サービスの利用 クラウドストレージに一時保存し、ファイルをダウンロード
  • 大容量ファイルの受け渡しが可能
  • 送信時にシステムへのログインの手間がかかる
  • Webダウンロードを禁止している企業もある
  • メールとファイルが分離されるため過去のやりとりの履歴が追えない
  • 誤送信対策は別のしくみが必要
4 添付ファイルのダウンロードリンク化 メールの添付ファイルを分離し、添付ファイルはダウンロードサーバーへ、メール本文にはダウンロード用リンクを挿入
  • メールの利便性そのままにファイル共有が可能
  • ファイルの経路はHTTPS通信で盗聴の危険性低い
  • 誤送信対策としても機能する(公開範囲を別途設定)
  • Webダウンロードを禁止している企業もある
  • 公開範囲設定の手間がある
  • ファイルダウンロード時の認証手続きに手間がかかる

GUARDIANWALLの見解

PPAPに代わるファイル共有のしくみとして、前述した2つの視点(「誤送信対策をどうするか」と「送信手段をどうするか」)から見ても、バランスが良く見えるのは添付ファイルのダウンロードリンク化です。
しかしながら、セキュリティポリシー上Webアクセスをそもそも禁止している、長年ZIP暗号化に慣れ親しんですぐに運用を変えるのが難しい、また、セキュリティ対策にコストを十分にかけられないなど、お客さまによって条件はさまざまであるため、PPAP代替ソリューションに対する明確な正解は今以ってないと考えます。
お客さまのメールセキュリティの利用形態・ポリシーに応じた対策を選択すべきです。

これまで、GUARDIANWALLにおいては、添付ファイルのZIP暗号化機能を誤送信対策ソリューションとして提供してまいりましたが、パスワード同一経路の運用が盗み見対策として意味のないことや、利用者に運用面で負担をかける可能性があることなど、ZIP暗号化機能には課題があると認識をしています。
しかしながら一方で、利便性やパスワードを送る際の確認プロセスが誤送信対策として機能する点、情報漏えいなどのインシデント発生時に監査対応が容易になる点など、メリットを享受する一面もあるため、当面はこれまでどおりZIP暗号化の機能を継続して提供してまいります。
さらに今後は、ZIP暗号化を継続運用せざるを得ないお客さまにも、安全性を鑑みPPAPをやめたいお客さまにも対応すべく、ZIP暗号化とダウンロードリンク化を併用できる製品・サービスを提供できるよう努めてまいります。

当社が提供する代替ソリューション

以上を踏まえ、当社の製品およびサービスをご利用中のお客さま、あるいはご検討中のお客さまには、以下1~3の代替ソリューションをご提案いたします。

<代替ソリューション 1>

GUARDIANWALL Mailセキュリティ・クラウドで高度なセキュリティ対策を実現!

PPAPを「誤送信対策」として捉える場合、その代替ソリューションとして、当社が提供するクラウド型メールセキュリティサービス「GUARDIANWALL Mailセキュリティ・クラウド」をご提案します。
添付ファイルを暗号化しなくても、高度なフィルタリング機能や配送制御の機能で、宛先のうっかり間違いによる情報漏えいを防ぎます。さらに、メールのアーカイブによるインシデント発生時の事後監査や、モニタリングしていると意識づけることによる故意の情報漏えいの抑制が可能です。

特長

  • フィルタリング機能で、メールの本文と添付ファイルをチェック
  • 上長承認/自己査閲/遅延配送など送信制御で誤送信、情報持ち出しを防ぐ
  • アーカイブによる有事対応や事後監査による漏えい抑制

<代替ソリューション 2>

Outbound Security for Microsoft 365

Outbound Security for Microsoft 365 は、メールの誤送信対策を手軽に簡単に実現できるMicrosoft 365 向けのクラウドサービスです。
送信前チェックと添付ファイルのダウンロードリンク化の2つの機能でお客さまに安全なメール送信を提供します。(2021年秋正式リリース予定)

特長

  • 送信前確認機能による、簡単で効果の高い、誤送信対策
  • ZIP暗号化ではなく、ダウンロードリンク化による添付ファイル送付
  • Outlookアドイン型を採用。管理者の負担が少なく、セキュリティ統制が可能
  • 低コストで実現できる(想定 1ユーザ:100円/月)

<代替ソリューション 3>

MailConvert on Cloud プレミアムの機能拡張

MailConvert on Cloudは、GUARDIANWALL Mailセキュリティ・クラウドにラインアップされているメールの誤送信対策クラウドサービスです。
メールを誤送信してしまったとしても、添付ファイルから情報漏えいすることを防ぎます。お客さまの運用にあわせ、添付ファイルの暗号化もしくはダウンロードリンク化を自由にお選びいただけるよう、機能強化予定です。(2021年8月リリース予定)

特長

  • 宛先により、ZIP暗号化か添付ファイルのダウンロードリンク化かを選択可能
  • フィルタリングやアーカイブと組み合わせて高度な情報漏えい対策が可能