メールでパスワード別送は何が問題なのか？ 安全性を高める方法とは

メールでパスワードを別送する方法は、以前は安全性が高いと考えられ多くの企業や団体、組織が採用していました。しかし、近年ではむしろセキュリティリスクを高めるおそれがあると、利用をやめる企業が増えています。実際、海外ではほとんど使われていない方法と言われています。本記事では、メールでパスワードを別送する方法の問題点や安全性を高める方法、代替となるおすすめの方法などについて解説します。

メールでパスワードを別送する方法とは

セキュリティを意識して個人情報や機密情報などを含むファイルをメールで共有する方法のひとつに、「PPAP方式」と呼ばれるものがあります。これは、それらのファイルをパスワード付きzipファイルにし、そのパスワードを添付メールとは別のメールで別送する方法です。流行していた「PPAP」と呼ばれる楽曲になぞらえ、「（P）パスワード付きzipファイルを送信する」、「（P）パスワードを送信する」、「（A）暗号化する」、「（P）プロトコル」の各頭文字をとって名付け、揶揄されました。

関連記事：PPAPとは? 政府や各企業の動きに見る問題点と代替方法

パスワードを別のメールで送る理由とは

パスワードを別のメールで送る理由は、漏えい防止、安全性の確保です。当該手法は、長らくリスクの低い安全なメール送信方法だと考えられていました。現在でも、この手法で添付ファイルを送信している企業は存在します。

ただ、長らく安全だと思われていたこの手法に対し、実は安全ではないとの声がありました。この手法では1通目と同じルートでパスワードを送信するため、1通目が盗聴された場合にはパスワードも見られてしまう懸念があるのです。また、パスワード付きzipファイルはウイルス対策ソフトによる脅威のチェックができないのも、安全ではないと言われる理由です。

PPAP方式の問題点とは

PPAP方式は以下3点の問題から、実は安全性が低くリスクの高い方法とされています。

メールからの情報漏えいリスク

PPAP方式の懸念点として、メール添付でのファイル共有による情報漏えいリスクが挙げられます。考えられるのは、誤送信による情報漏えいです。PPAP方式では、格納したファイルとパスワードを別送するものの、そもそも宛先が間違っていれば無意味です。送信先メールアドレスを記憶するメーラーを使っている場合、添付メールもパスワードメールも両方間違った宛先に送ってしまう可能性が残ってしまいます。

また、当該方式で送られるメールの本文は、暗号化が施されていません。そのため、メールが相手へ届く前に、第三者から盗聴されるリスクがあります。パスワードをFAXで伝えたり、パスワードのみ別のメールアドレスから送ったりすれば、ある程度安全性の確保は可能です。しかし、同じルートで送信されている2つのメールを第三者に取得された場合、そこから情報漏えいにつながります。

情報漏えいが発生した場合、企業が大きなダメージを受けるのは想像に難くありません。顧客や取引先からの信用もなくし、事業の存続すら危ぶまれるおそれがあります。

圧縮ファイルに潜むセキュリティリスク

zipファイルに対し、ウイルスチェックを実施できないのも大きな問題です。

セキュリティ対策ソフトを端末にインストールしていれば、マルウェアなど各種ウイルスの検知や排除が可能です。しかし、PPAP方式でやりとりする圧縮ファイルは、セキュリティ対策ソフトでウイルスチェックができません。結果的に、端末やネットワークへのウイルス感染リスクが高まります。

アメリカではマルウェアの「Emotet」が増加していることを受け、パスワードを設定したzipファイルを利用しないことを推奨しています。セキュリティ面を考えれば、当該方式を用いたメールの送信はすべきではありません。また、マルウェアなどのサイバー攻撃をしかけるハッカーは、添付メールを使い続けている企業を狙うと言われています。添付メールを許可していること自体がセキュリティリスクを高めることにもなってしまいます。

受信者の管理工数増加と負担

PPAP方式は、送信側と受信側どちらにも大きな負担が発生する方式です。メールを送りたい側はパスワードを設定したZipファイルを送信したあと、パスワードも別送しなくてはなりません。受信側も、二度にわたりメールを受け取る必要があるため手間がかかります。メールボックスに埋もれ、どれが本体のメールでどれがパスワードのメールでとわからなくなった経験を持つ方も多いのではないでしょうか。また、ZipファイルはiPhoneなどのモバイルでの閲覧がしにくく、多様な働き方という面でも非効率です。

業務効率化や生産性向上、競争力を高めるためのDX推進などが叫ばれる昨今において、このような非効率な方式は時代にマッチしません。双方に多大な手間と負担を発生させるため、時代に逆行した方式です。だからこそ、現在では多くの企業がPPAP方式からの脱却を図っています。

政府がPPAP方式の廃止を発表

PPAP方式を利用する企業が少なくなった理由として、政府による発表が挙げられます。2020年にデジタル庁のトップが会見を行い、当該方式の使用をやめるよう内閣府の職員へ通達すると公言しました。セキュリティに懸念があるうえに、受信側の利便性が低いとの判断からです。

それまでは、さまざまな企業をはじめ自治体や国の省庁でもPPAP方式は利用されていました。しかし、2020年に「デジタル改革アイデアボックス」へ、PPAPのリスクや懸念点に関する多数の意見が寄せられたことで、政府はPPAPの利用廃止を決めました。

その結果、現在では自治体や省庁でもPPAP方式は使用されなくなり、民間企業でもPPAP方式の使用を取りやめるケースが増加しました。

パスワード別送による情報漏えいの3パターン

顧客情報をはじめとした重要な情報が外部へ漏えいすると、企業としての信頼は地に墜ちます。その結果、事業の継続すら難しくなるかもしれません。このような事態を回避すべく、適切な対策が求められます。そのためには、パスワード別送による情報漏えいのパターンを把握しておくことが大切です。

代表的な情報漏えいのパターンは、宛先間違いによる誤送信、添付ファイルの間違い、送信先の予期せぬメール転送の3つです。
宛先間違いによる誤送信は、本来メールを送るべき相手とは異なる人にメールを送ってしまうケースです。メールアドレスが似ていた、別のメールと間違えてうっかり送ってしまったなど、誤送信の理由はいくつも考えられます。

メールを受け取った側は、相手が誤送信したなど思っていません。そのため、何の疑いもなくメールを開封してしまうと考えられます。メールの内容によっては、重大な情報漏えいにつながるおそれがあります。

添付内容の間違いは、本来添付すべき文書や資料とは異なるデータを添付してしまうケースです。たとえば、A社に対し誤ってB社用の見積書を添付してしまった、といったケースが該当します。このケースでは、B社にどの程度の見積もり金額を提示しているのかがA社に知られてしまい、トラブルに発展することも考えられます。

送信先がメールを転送し、拡散してしまうケースも懸念しなくてはなりません。たとえば、A社に送ったメールを、担当者が競合他社へ転送する、といったケースです。悪意のもと転送されることもあれば、ヒューマンエラーにより拡散されるおそれもあります。

パスワード別送の代替としてクラウドストレージは安全性が高い

PPAP方式の代替として注目を集めているのがクラウドストレージやコンテンツクラウドです。

これは、インターネット上にファイルといった業務コンテンツを格納できるクラウドサービスです。社内でのファイル共有に限らず、外部とも容易にかつ安全に共有できることから、近年導入する企業が増加しています。

クラウドストレージへファイルが格納されることにより、強固なセキュリティを実現できる点が魅力です。コンテンツクラウドといったコンテンツ管理機能を併せ持つサービスには、業務を効率化する機能が多数備わっています。例えば、編集を重ねるとファイルのバージョンが上がりますが、自動で版管理ができるのです。古いファイルを共有してしまったなど版間違いをすることもなく、共同編集も容易にできるためヒューマンエラーの防止にもつながります。実績のあるクラウドストレージを導入すれば、さらに安全性と安心感は高まります。

コンテンツクラウド「Box」は、堅牢なセキュリティ環境のもと、ファイルの共有やコラボレーションを行える点が特長です。ファイルそのものを送るのではなく、Boxにファイルを保管し、そのリンクを共有リンクとして送ります。細かい権限設定ができるため、万が一誤送信してもアクセス権の無い受信者はファイルにアクセスできないため、漏えいは起こりません。ほか、特定の人だけがダウンロードができるような操作権の設定も可能です。そのため、新たなファイル共有の手段として注目を集め、導入する企業や団体、組織が増えています。新たなファイルの受け渡しや活用の方法、共有、管理の効率化を実現できるソリューションを探しているのなら、この機会に検討してみることをおすすめします。

その他のファイル共有方法

コンテンツクラウドやクラウドストレージ以外のファイル共有方法として、ファイル転送サービスやビジネスチャット、メール暗号化システムなどが挙げられます。ただ、これらの方法はいずれもバージョン管理が煩雑になりやすく、共同編集もできないためファイルの取り違いが起こりかねません。より詳しいデメリットについては個別に解説します。

ファイル転送サービス

ファイル転送サービスとは、メールでは送信しにくい大容量のファイルをオンラインでやりとりできるサービスです。共有したいファイルをサーバーへアップロードし、共有相手へ保存先のURLを送りダウンロードしてもらいます。

メールに添付できない、大容量のファイルを特定の相手と共有できる点が魅力です。また、無料のサービスを利用すればコストもかかりません。

一方、セキュリティ上のリスクが少なからず存在する点には注意が必要です。特に、無料サービスはどのようなセキュリティ対策を施しているのか分かりません。また、自社でログを管理できないため、情報漏えいが発生しても自社のどのような情報が流出したのか把握できないおそれがあります。

ビジネスチャット

ビジネスチャットとは、ネットワークを介してテキストによるやりとりが可能なサービス、ツールです。近年では、テキストだけでなく音声でコミュニケーションをとれるサービスや、各種データをアップロード、共有できるツールもあります。

スムーズにコミュニケーションがとれ、容易に情報共有できる点が魅力です。メールの送受信とは違いタイムラグがほとんど発生せず、スピーディでテンポのよいやりとりが可能です。また、メールと同じように各種ファイルをドラッグ＆ドロップで添付でき、共有に手間がかかりません。

ただ、これらはビジネスチャットのメリットでありデメリットでもあります。簡単な操作でファイルの添付や共有ができるため、操作ミスによってあっけなく情報が流出するおそれがあります。メールでの共有と大きく変わりません。また、やりとりの内容がどんどん蓄積されるため、社員が情報を見逃してしまうリスクがある点にも注意が必要です。

関連記事： 便利なビジネスチャットの課題は？コンテンツはクラウドストレージで共有すべき理由

メール暗号化システム

メール暗号化システムとは、メールの本文や添付情報の暗号化によって、内容を秘匿するシステムです。メール暗号化には、共通鍵暗号方式や公開鍵暗号方式などがあり、SSL・TLS方式やPGP・S/MIME方式などの技術が用いられています。

メール暗号化システムの利用により、メールの内容を第三者に解読されるリスクを回避できます。情報漏えいを未然に回避でき、顧客や取引先からの信頼を確保できるのもメリットです。

ただ、添付ファイルも暗号化しないと、万が一誤送信が発生した場合に情報が漏れてしまうおそれがあります。また、暗号化されたメールを受け取った側は、PPAP方式同様、開く際に手間がかかるため非効率と思われてしまうかもしれません。

脱PPAPの成功事例

事例1. 日本郵政株式会社

日本郵政株式会社は、増え続ける標的型メール攻撃への対策に長らく頭を悩ませていました。そこで、同社はクラウドストレージ「Box」の導入を決定します。標的型メール攻撃によるマルウェア感染などのリスク低減が目的です。

同社では、外部から送信されたファイルをチェックしたうえでBoxに保管しています。それによって、従来よりも安全にメールを受信できる環境が整備されました。

詳細はこちら：日本郵政、クラウドストレージサービスにコンテンツクラウド「Box」を採用

事例2. 株式会社あしたのチーム

もともと、同社ではパスワード付きzipファイルをビジネスで受け取っていました。セキュリティ上の懸念はあったものの、顧客が利用していたためやむなくといった事情からです。

このような状況を打破するため、同社ではBoxの導入を決めます。それにより、顧客からメールを安全に受け取れるようになり、情報の共有も容易になりました。

ファイルの送受信が継続的に発生する顧客への対応には、Boxのコラボレーション機能を利用しています。メールでファイルを送ってもらっていたときは、最新のファイルがどれなのか分からなくなるケースが多く発生していたものの、Boxでは最新のファイルを管理できるためこのような状況も改善できました。

詳細はこちら：さよならPPAP(パスワード付きZipファイル送信)！ あしたのチーム様Box活用事例紹介

まとめ

国や自治体だけでなく、今では多くの民間企業が脱PPAPを進めています。現在では、PPAPに頼らずとも安全にファイルを共有する方法がいくつもあります。情報漏えいが発生してからでは遅く、場合によっては事業の継続すら難しくなるかもしれません。今からでもBoxのような脱PPAPやメールによる共有、パスワード別送をしなくて良く業務効率も上がる、高機能で便利なコンテンツクラウドの導入を検討してみてはいかがでしょうか。