CORPORATE SEARCH検索

PPAPとは?問題視される4つの理由と代替案、効果的な対策方法を徹底解説

[ 更新: ]

近年、PPAPを廃止する動きが政府や企業の間で広がっています。PPAPは、「メールでパスワード付きのZIPファイルを送り、その後別のメールでファイルを開くためのパスワードを送る」というアクションを指します。

なぜこのPPAPが問題視されているのか、気になる方も多いはずです。一時は安全性が高いと思われていましたが、メール内容の漏洩リスクやウイルスの感染リスクなど、PPAPには複数の問題点が存在しているのです。

そこで今回は、PPAPの概要や問題視される理由、代替案・効果的な対策方法を徹底解説します。PPAPを導入予定の方、すでに導入している方はぜひ本記事をご覧ください。

目次

[ 開く ] [ 閉じる ]
  1. PPAPとは
  2. PPAPが注目された背景
  3. PPAPが問題視される4つの理由
  4. メールの内容が漏洩する可能性がある
  5. ZIPの暗号強度が脆弱である
  6. ウイルスチェックが難しい
  7. 送信側・受信側の業務負担が大きい
  8. PPAPを廃止する動きは強まっている
  9. 政府の動き
  10. 企業の動き
  11. PPAPの代替案・効果的な対策方法
  12. クラウドストレージを用いてファイルを共有する
  13. 別の通信経路でファイルとパスワードを送信する
  14. ファイル転送サービスを活用する
  15. チャットツールを介してファイルを送受信する
  16. S/MIMEでファイルを送る
  17. GMOサイバーセキュリティ byイエラエが社内のセキュリティ対策を強化
  18. まとめ

PPAPとは

PPAPとは、「メールでパスワード付きのZIPファイルを送り、その後別のメールでファイルを開くためのパスワードを送る」という一連のアクションのことを指します。PPAPという名称は、以下の単語それぞれの頭文字を取っています。

  • P:Password付きのZIP暗号化ファイルを送ります
  • P:Passwordを送ります
  • A:Aん号化(暗号化)
  • P:Protocol(プロトコル)

PPAPはこれまで多くの企業が採用してきたセキュリティ方法の1つです。しかし、政府が2020年にPPAP廃止の方針を発表して以来、企業の間では脱PPAPの動きが広がっています。

【関連記事】脱PPAPとは?表明した大手企業や取り組むメリットを徹底解説

PPAPが注目された背景

そもそもPPAPは公的機関が広めたものではありません。PPAPが多くの企業に根付いたのは、「ある誤解」がきっかけだとされています。

2005年以降、政府によって個人情報保護法が施行されたことで、企業の間でプライバシーマークを取得する動きが広がりました。

この動きに便乗し、一部のコンサルタントは総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン」を参考にし、新たな規程を作成しました。

プライバシーマークとは
事業者の個人情報を取り扱う仕組みと、その運用が適切であるのかを評価したもの。その証として、事業活動においてプライバシーマークの使用が認められる。

しかし、同ガイドラインに記載された「パスワードはメール以外の方法で送ること」など、一部文言の認識が不十分だったとされます。誤った解釈による規程が多くの企業に広がり、不十分なセキュリティ対策であるPPAPが強く根付いてしまったのです。

【関連記事】情報セキュリティ対策の具体例とは?対策を怠った場合のリスクについても解説

PPAPが問題視される4つの理由

企業に広く浸透したPPAPには、以下4つの問題点が存在します。

  1. メールの内容が漏洩する可能性がある
  2. ZIPの暗号強度が脆弱である
  3. ウイルスチェックが難しい
  4. 送信側・受信側の業務負担が大きい

各ポイントを順番に見ていきましょう。

メールの内容が漏洩する可能性がある

PPAPでは、1通目のメールで暗号化されたZIPファイルを送り、2通目でパスワードを送るという方法を取ります。しかし、この方法では結果的に同じ経路を使用することになるため、安全性が高いとは言えず、場合によってはメールの内容が漏洩する可能性があるのです。

例えば、もしも第三者に1通目のメールを盗み見された場合、同じサーバー内に送られた2通目のメールを見ることは難しくありません。また、2通とも誤った相手にメールを送ってしまい、内容を知られてしまうといったリスクも存在します。

つまり、PPAPは一見高いセキュリティ対策が施されているように思えますが、第三者からすればZIPファイルとパスワードを同時に知ることは容易であることから、メールの内容が完全に保護されているとは言えません。

ZIPの暗号強度が脆弱である

ZIPの暗号強度は必ずしも高いとは言えず、悪意のある第三者に短時間で解読される危険性があります。暗号化方式には、主に以下の2種類が存在します。

▼暗号化方式の主な種類

  1. ZipCrypto(Standard ZIP 2.0)
  2. AES-256

AES-256は、アメリカで2001年に標準暗号として定められた暗号化方式であり、暗号鍵長が長く、安全性が高いと評価されています。一方で、ZipCryptoは計算能力を応用するためのシステム開発が進んでいることもあり、単純なパスワードだと短時間で突破される可能性があります。

その上、ZIPファイルの暗号解読は何度でも入力できるため、時間をかければいずれはパスワードを突破できてしまうのです。

ウイルスチェックが難しい

通常、ウイルス対策ツールを導入していれば、自動でメールのウイルスチェックが実施されます。パスワード付きのZIPファイルも同様に、このウイルスチェックにより安全性が保たれているように思えます。

しかし、パスワード付きのZIPファイルは内容を開かないとウイルスチェックができません。そのため、もしもファイルの中にウイルスが潜んでいた場合、ウイルスチェックをすり抜け、そのままデバイスに感染する危険性があります。

中にはZIPファイルの中身を確認してくれるウイルス対策ツールもありますが、これでも100%安全とは言い切れません。PPAPを採用する場合は、ウイルスやマルウェアの感染リスクがあることを覚えておきましょう。

【関連記事】マルウェアとウィルスの違い|マルウェアとは何なのか、特徴や感染時の対策を解説

送信側・受信側の業務負担が大きい

4つ目の理由は、送信側と受信側の業務負担が大きいという点です。送信側は、まず情報をZIPファイルにまとめ、それをパスワードで暗号化してメールを送信します。その後、別のメールでパスワードを送信するという一連の作業が必要です。

受信側もまた、2つのメールを受け取り、それぞれに含まれる情報を使用してZIPファイルを解読するという手間が求められます。場合によっては、2通目のメールが他のメールに埋もれてしまい、メールボックスの中から探す手間が発生します。

このように、PPAPは送信側と受信側の両方に負担を強いるため、効率を重視する現代の働き方に適しているとは言えません。

PPAPを廃止する動きは強まっている

問題点が多いPPAPを廃止しようと、政府や企業で脱PPAPの動きが強まっています。その具体例を、政府と企業に分けて詳しく解説します。

政府の動き

2020年11月、当時のデジタル改革担当大臣が「自動暗号化ZIPファイルを廃止」する方針を示し、内閣府・内閣官房で採用していたPPAPの廃止を発表しました。内閣府はその当時行われた記者会見の様子を、「平井内閣府特命担当大臣記者会見要旨 令和2年11月24日」として公表。

この記者会見が大きな波紋を呼び、2021年12月に文部科学省の公式サイトで2022年1月4日以降、全てのメール送受信においてPPAPを廃止すると発表しました。これら政府の動きが影響し、多くの企業で脱PPAPの動きが促進されました。

企業の動き

政府の発表を機に、企業でも脱PPAPの動きが強まりました。クラウド会計ソフトのfreeeは2020年11月に、12月1日からPPAPを廃止すると公式サイトで発表。そのほか、以下のような企業が脱PPAPに乗り出しました。

企業 時期 詳細
NTTデータ 2021年7月 社内規定でPPAPの利用を廃止
日立製作所 2021年12月13日 社内規定でPPAPの利用を廃止
TIS 2021年度中 情報セキュリティーポリシーの見直し予定
SCSK 2021年度中 社内規定を改定する予定
伊藤忠テクノソリューションズ(CTC) 2021年度中 メール送信の大半でPPAPの利用を廃止する予定

2022年2月にはソフトバンクが公式サイトで、従業員が業務で使用するメールアカウントにおけるPPAPの利用を廃止すると発表しています。今後も、脱PPAPの動きは加速すると予想されています。

PPAPの代替案・効果的な対策方法

PPAPの廃止が進む一方で、その代替案や効果的な対策方法が求められています。企業の安全性と生産性を両立させるためには、PPAPの代替案と対策方法を把握し、それぞれを適切に活用することが大切です。

  1. クラウドストレージを用いてファイルを共有する
  2. 別の通信経路でファイルとパスワードを送信する
  3. ファイル転送サービスを活用する
  4. チャットツールを介してファイルを送受信する
  5. S/MIMEでファイルを送る

各方法を1つずつ解説します。

クラウドストレージを用いてファイルを共有する

クラウドストレージを活用すれば安全な環境でファイルを共有でき、わざわざパスワードを設定する必要もありません。時間と場所を選ばず、ファイルに自由にアクセスできることも利点の1つです。

このクラウドストレージは、前述した文部科学省の代替案として導入されている方法です。しかし、無料のサービスだと権限を細かく設定できないなどの難点があります。セキュリティをより強固にしたい方は、有料のサービスを選択しましょう。

別の通信経路でファイルとパスワードを送信する

すぐに実施できる代替案として、別の通信経路でファイルとパスワードを送信する方法が挙げられます。例えば、ZIPファイルはメールで送信し、パスワードはチャットや電話など別の経路で伝えます。

この方法を取ることで、現在の業務フローに大きな変更を加えることなく、パスワード漏洩のリスクを軽減することが可能です。ただし、ZIPファイルをメールで送信すると、マルウェアの1種であるEmotetなどの感染リスクが伴います。安全に利用するためには、別途でセキュリティ対策の強化が必要です。

【関連記事】マルウェアの対策方法とは?感染前後の対処法を詳しく紹介!

ファイル転送サービスを活用する

ファイル転送サービスも気軽に導入しやすい方法の1つです。ファイル転送サービスとは、インターネット上でファイルを送受信するサービスのことです。

サービスには無料と有料のものがあり、代表的なものとしては「ギガファイル便」や「クリプト便」、「SECURE DELIVER」などが挙げられます。

▼ファイル転送サービスを活用する主な流れ

  1. 送信側がファイル転送サービスを通じてファイルをアップロードする
  2. ダウンロード用のURLとパスワードを取得する
  3. 受信側にURLとパスワードを伝える
  4. 受信側がURLにアクセスしてダウンロードする

ファイル転送サービスの難点は、ダウンロードできる期間が限られていたり、URLの誤送信による情報漏洩のリスクが発生したりすることです。また、セキュリティ面を考慮する場合は、有料のサービスを選ぶ必要があります。

チャットツールを介してファイルを送受信する

ビジネスチャットを通じてファイルを送受信するという手もあります。他の方法に比べて容易に実現できるほか、誤送信のリスク軽減にも繋がります。

▼ビジネス向けの主なチャットツール

  • Chatwork
  • Slack
  • Microsoft Teams
  • LINE WORKS
  • Talknote

しかし、この方法を用いる場合は、前提として送信側・受信側が同じサービスのアカウントを所持していなければなりません。またチャットツールによってはファイル容量に制限があるため、大容量のファイルを送信できない可能性があります。

S/MIMEでファイルを送る

S/MIME(Secure / Multipurpose Internet Mail Extensions)とは、電子メールのセキュリティを向上させる暗号化方式のことです。暗号化されているため、メールを盗み見されても内容は解読されません。

また、電子署名を行うことで送信者の身元を証明できるほか、なりすましを防止できるといった利点があります。しかし、導入までのハードルが高く、送信側と受信側の両方がS/MIMEに対応していなければなりません。

GMOサイバーセキュリティ byイエラエが社内のセキュリティ対策を強化

画像引用元:GMOサイバーセキュリティ byイエラエ

国内最大規模のホワイトハッカー集団が在籍する「GMOサイバーセキュリティ byイエラエ」は、多種多様なサイバー攻撃対策をサポートしています。セキュリティコンサルタントが様々なセキュリティ問題に悩む担当者の方に対して、運用システムの詳細まで踏み込んでご支援をいたします。PPAPの代替案をご検討される際はぜひご相談ください。

まとめ

本記事では、PPAPの概要や問題視される理由、代替案・効果的な対策方法を解説しました。

多くの企業で採用されているPPAPには、メール内容の漏洩リスク、ウイルスやマルウェアの感染リスクなど、複数の問題点が存在します。そのため、政府や企業の間で脱PPAPの動きが広がっています。

PPAPの廃止を目指したい方は、ぜひ本記事で解説した代替案と効果的な対策方法をご参考ください。代替案を導入する際には、「GMOサイバーセキュリティ byイエラエ」によるセキュリティ対策の強化がおすすめです。

文責:GMOインターネットグループ株式会社