PPAP原則廃止が示す運用転換
三菱UFJ銀行がPPAP(パスワード付きZIPを添付し、別メールでパスワード送付)を原則廃止し、メール本文のダウンロードURL共有へ移行すると報じられた。規制・監査の厳しい金融での方針転換は、「慣習的対策」から「脅威に合う対策」へ重心を移す動きである。情シスはこの機会に、メール添付中心の受け渡しモデルそのものを見直すべきだ。単なる手段の置換ではなく、アクセス制御・監査・失効を前提に再設計することが重要である。
PPAPが弱い脅威モデルと運用課題
PPAPは「別送」でも同一メール環境でやり取りする限り、アカウント侵害でZIPとパスワードが同時に奪取され得る。近年増えるフィッシング、セッションハイジャック、MFA疲労攻撃などの乗っ取りに対し、耐性は高くない。さらにパスワード付きZIPはゲートウェイの検査やDLPの内容確認を迂回しやすく、検知精度と可用性を下げる。誤送信、弱いパスワード、使い回しなど人的ミスも増え、受信者の解凍作業が業務阻害になる。
URL共有で高める統制と監査性
URL共有は、ストレージ側で認証・認可をかけられる点が本質である。閲覧者の限定、ドメイン制限、閲覧のみ(DL禁止)、管理端末のみ許可など、条件付きアクセスに寄せられる。アクセスログで「誰がいつ取得したか」を追跡でき、監査対応や説明責任に強くなる。加えて、有効期限や即時失効により誤送信時の被害局所化が可能となり、回収不能なメール添付より実務的なコントロールが効く。
脱PPAPの実装チェックポイント
URL共有の落とし穴は「誰でもアクセスできるリンク」や、URL増加によるフィッシング判別性の低下である。原則は認証必須とし、必要に応じてワンタイムコードや端末制約を併用する。リンクは有効期限、回数制限、DL制限、アクセス元制限を組み合わせ、誤転送時の影響を最小化する。アップロード時・ダウンロード時の二段階マルウェア検査とDLP連携で“検査可能な共有”に戻し、異常DLや海外IPなどの検知と失効フローを整備することが定着の鍵である。