現行のPPAP代替手段には課題が残る
暗号化したZipファイルをメールで送信した後、別メールでパスワードを送る「PPAP」。2020年11月、平井卓也デジタル改革担当大臣(当時)が内閣府、内閣官房でのPPAP廃止を宣言したことを受け、民間企業でも「脱PPAP」に向けた機運が高まっている。
PPAPには大きく2つのリスクがある。1つは暗号化したZipファイルとパスワードを同一経路で送るため、悪意を持つ第三者に内容を盗み見られる可能性があること。もう1つは、標的型メール攻撃の被害にあうリスクが増すことだ。暗号化されたメール添付ファイルは、受信側のセキュリティゲートウエイでウイルスチェックにかけたり、サンドボックスで検査したりすることができない。この点を逆手にとり、EmotetやIcedIDなどのマルウエアが“隠れ蓑”にし始めているのである。
このような状況を受け、多くの企業がPPAPの代替手段を模索している。ところが、現行の代替手段には、いずれも課題があることが分かってきた。
例えば「ビジネスチャットで送る」場合、送信側・受信側が同じツールを使う必要があるため、必然的にやり取りできる顧客や取引先が限られる。これではビジネス効率が低下してしまうだろう。また、「クラウドストレージ経由で送る」場合は、ファイル格納先のURLとアクセスパスワードを別の経路で送付しなければ“盗聴”のリスクは低減できない。クラウドストレージ上のファイルは一定期間が経つと削除されるため、メール本文とファイルの内容を同時に確認しづらくなることも課題になりがちだ。
脱PPAPを考える際は、既存の代替手段とは異なるアプローチを検討することが求められている。そこで今、企業の関心を集めているのが、通信経路そのものに着目する方法だ。簡単に導入でき、利用者の負担も高めない。この新しい手法とはどのようなものなのか。