PPAPという言葉をご存知だろうか。近年セキュリティ業界で使われるようになったこの言葉は、以下の頭文字をとったものとされている。

 

P:パスワード付きZIPファイルをメールで送信
P:パスワードをメールで送信
A:暗号化
P:プロトコル

 

言われてみれば多くの方が「ああ、アレね」と思い当たるだろう。情報漏えい対策として広く使われている方法だが、セキュリティ対策としての実効性が疑わしいことは以前から多くの専門家から指摘されていた。それがここに来て注意喚起の声が大きくなったのは、Emotetを始めとするマルウェアがPPAP方式で拡散され、感染被害が相次いだためだ。多くのウイルス対策ソフトは、パスワードでロックされたZIPファイルの中身をスキャンできない。この時点ですでに大きなリスクがあるのだが、PPAP方式は広く使われている(会社によっては義務付けられている)セキュリティ対策であり、多くのビジネスパーソンがこの方式に関わらざるを得ない状況にある。

 

こうした背景から、PPAP方式はサイバー攻撃者にとって“都合がよい”マルウェア配信手段として目をつけられてしまったわけだ。もともと有効性が疑わしいPPAP方式である。使用禁止にするのが手っ取り早いのだが、そう簡単ではない。ファイル共有の代替手段をどうするかも悩ましいが、それ以上に難しいのがPPAPで送られてくるファイルの扱いだ。自社のルールを取引先に強要するわけにもいかず、「ZIPファイルを開く際は送信者が正しい取引先か確認すること」といった中途半端な注意喚起しかできないとお悩みのIT担当者も多いことだろう。

 

本書では、PPAP問題に潜むリスクと有効な対策のあり方について解説する。ソリューションもすでに複数のベンダーから提供されているが、いくら安全性が高い製品でも、扱いにくいものでは定着が難しい。ソリューション選定で重要なのは「ビジネスの現場に負のインパクトを与えないこと」だ。自社に合ったソリューションを選ぶ際に、本書が参考になれば幸いである。