前回のブログに続いて「PPAP」について考えてみたいと思います。
前回のブログ、その2でお伝えした通り「第三者へのメール誤送付」防止策として広く運用されていた「PPAP」は廃止の流れが進んでいます。
現在においてはセキュリティ的なメリットが薄いためです。
●理由1: ファイルとパスワードが同じ経路(メール)で届く
ファイルを送るメールとパスワードを送るメールの両方が同じメールアドレスに届きます。
そのため、もし第三者がメールを盗み見られる状況であれば、ファイルとパスワードの両方を入手できてしまい、パスワードを別メールで送っていても、十分な安全対策になっていない場合があります。
●理由2: マルウェア対策として効果が限定的
現在のメール受信ではほとんどの場合、添付ファイルが危険なプログラムでないかチェック処理が行われます。
ですがパスワードつきzipファイルの場合、チェック処理ではパスワードが分からないため解凍できず、十分なチェックが行われないことがあります。
ウィルスなど危険なファイルがチェックをすり抜けてしまうという、より危険な状態を許してしまいかねません。
●理由3: 手間が大きい
メール送信者は 「パスワードを考える」→「パスワードつきzipファイルに圧縮」→「ファイル添付でメール送信」→「パスワードをメール送信」 という、いくつもの手順を行わなければならず、また受信者も「パスワードを確認」→「解凍」という手順が必要です。
ファイルを送るたびにこの手間が発生するため業務効率の低下につながります。
●理由4: 誤送信を防げない
「PPAP」のルールの土台にあるのは、 『最初ファイルを送った際にメールアドレスが間違えていることに気づけば、次のパスワード案内メールを送らなければいい』 という考え方です。
ですが、そもそも『最初のメールアドレスが間違えている』ことに気づけないことがほとんどで、次のパスワードも同じメールアドレスに送ってしまうことが多いです。
そのためファイルを送る際の手間に比べて、誤送信を防ぐという効果が薄くなります。
これらの理由から「PPAP」は廃止の流れとなっています。
もちろん「PPAP」が全くの無駄だったわけではありません。
クラウドサービスも増え、認証技術も発達した現在では、「より安全で便利な方法を利用するべき」という考えが主流です。
ではどのようなファイル送信が安全か、次回お伝えしたいと思います。
