PPAPを企業が廃止する理由とは?問題点も解説

 2023.08.09  クラウドセキュリティチャネル

メールの送受信におけるセキュリティ対策として長らく用いられてきた「PPAP」。しかし近年、PPAPの問題点が明らかとなり、使用を取りやめる企業が増えてきています。本記事では、企業がPPAPを廃止する理由やその実例、PPAPの問題点について解説します。PPAPを代替するツールも紹介しますので、ぜひ参考にしてください。

”脱PPAP”後の適切な選択肢を考える ファイル共有完全ガイド2024

PPAPとは?

「PPAP」とは、相手に送付するファイルをパスワード付きのZIP暗号化ファイルにして、メールで送信するセキュリティ方法です。ファイルが添付されたメールにはパスワードを記載せず、パスワードはあとから送信します。

【PPAP】

  1. 「P」assword付きZIP暗号化ファイルを送信する
  2. 「P」asswordを送信
  3. 「A」ngoka(暗号化)
  4. 「P」rotocol(手順)

PPAPではデータファイルにパスワードを設けて送る都合、パスワードを知らない人には中身を見られなくなるため、手軽で有効なセキュリティ対策手段として広く使用されてきました。安全性を高めるために、パスワードは電話やFAXなど別経路で伝えることが推奨されています。

どうする?どう実現する?脱・PPAP

PPAPを国内企業が続々廃止にしている?

PPAPは従来、内閣府や多くの民間企業で採用されていましたが、近年ではその問題点が指摘され、使用を廃止する流れが加速しています。以下では、PPAPの使用を取りやめた組織の事例を紹介します。

日立グループの事例

日立グループは2021年12月をもって、これまで使用していたパスワード付きZIPファイルを廃止することを発表しています。

PPAPは、従来では一般的なセキュリティ対策として、企業間でファイルをやり取りする際に使用されてきました。日立ソリューションズでも、「秘文」ブランドのソフトウェアの1つとして、ファイルの自動暗号化ツールを提供していましたが、2017年に提供を終えています。

廃止するきっかけとなったのは、近年の暗号化に対する不安の高まりや、パスワード付きZIPファイルを利用したマルウェアの拡大などが挙げられます。日立グループは、グループ内だけでなく顧客や取引先のセキュリティを高めるためにも、PPAPの廃止を決定しました。現在では代替手段として、クラウドのコラボレーションツールなどの使用が検討されています。

NTTデータの事例

NTTデータでは、社内・顧客・取引先とのデータのやり取りにおいてセキュリティを確保するため、2021年7月に社内規定を改定し、PPAPの使用を基本的に禁止しました。

メールへのファイル添付を禁じ、社内では主に自社独自のファイル共有サービスや、コンテンツ・コラボレーション・プラットフォームの使用を推奨しています。ほかにもクラウドストレージサービスなど、利用できるサービスの幅を広げています。

ただし、顧客とのやり取りで必要な場合には、双方の合意に基づいてPPAPを使うこともあるようです。

内閣府の事例

内閣府・内閣官房では、政府内のやり取りに専用ネットワークが使われているため、これまで外部へファイルを送る際にPPAPを使用していました。ところが、セキュリティ性や受信側の利便性に劣るという理由から、2020年11月24日にPPAPの使用を取りやめる旨の会見が開かれ、同月26日を持って正式に廃止となりました。

この背景には、政府が設置した意見募集サイト「デジタル改革アイデアボックス」に、PPAPの運用におけるセキュリティ面の不安や、業務の複雑化などを指摘する意見が多数寄せられたことが影響しています。

政府では現在、PPAPに代わる新たなルールが敷かれており、これに追随する形で民間企業においてもPPAP離れが加速しています。

PPAP総研も警鐘を鳴らすPPAP問題

PPAPは安全にファイルをやり取りできる方法として、これまで広く使用されてきました。ところが近年では、暗号方式の安全性に対する不安やマルウェアへの脆弱性などから、セキュリティ上問題がある方法だと言われています。

PPAP総研代表の大泰司章氏は、2019年にマルウェア「Emotet」が国内で流行したことから、特に危険性が問われるようになったと言及しています。今後、類似のマルウェアが仕掛けられたときにも、ウイルスの感染が広まる恐れがあるため要注意です。

また近年では、暗号方式の解読が一般的なPCやツールでも可能となっているため、パスワード付きZIPファイルの安全性も不安視されています。

PPAPの具体的なセキュリティ問題

では、PPAPには具体的にどのような問題があるのでしょうか。以下では、特に指摘されている問題点を4つ取り上げ、それぞれ詳しく解説します。

情報漏えいを防ぎきれない

PPAPでは、パスワード付きZIPファイルを先便で送信してから、その後パスワードを送信します。情報漏えい対策として平文での送付よりも有効ではありますが、ファイルが開けないようにパスワード付きで送ったとしても、誤送信により悪意ある第三者の手に渡ってしまえば、パスワードを解析されるリスクが生じます。現在は誰でも解析ツールを入手しやすくなっているため、PPAPでも情報漏えいリスクの低減には十分ではなくなってきています。

サイバー攻撃へ対処が弱い

ZIPファイルにウイルスが混入していた場合、セキュリティ対策ソフトでは検出できないという問題もあります。もしウイルスが仕込まれていたとしても、チェックから漏れてしまうため、気づかずにファイルを開いてウイルスを拡散させてしまう恐れがあるのです。

また、相手から届いたファイルと間違えて、マルウェアが仕掛けられたファイルを開いてしまったために、社内のPCがウイルスに感染するケースもあります。スパムメールだけではなく、なりすましメールが届く場合もあるので、間違えてウイルスに感染するリスクは低くないでしょう。

パスワードが解析・予測されやすい

PPAPでは、部署内でパスワードを使い回したり、日付などの単純なパスワードを設定したりするケースが多く、パスワードを解析・予測されやすいという問題もあります。また、不規則な文字列をパスワードに設定していても、あまり短いと「総当たり攻撃」により容易く突破されてしまいます。

ファイルにパスワードを設定する際は、誤送信した場合も簡単に解読されないよう、複雑な文字列にするのが基本です。一般的には、英数字を組み合わせた12文字以上のパスワードが推奨されています。

誤送信対策として有効ではない

PPAPでは基本的に、パスワードをメールで送るべきではありません。ファイルとパスワードをそれぞれ別のメールで送る形は、一見すると二要素認証に近いですが、実際には似て非なるものです。二要素認証に近い形を取るのであれば、ファイルとパスワードをそれぞれ異なる経路で送るべきでしょう。

またPPAPでは、ファイルとパスワードを連続してメールで送信している人が多い点も問題の1つです。この場合、ファイルが添付されたメールを間違った宛先に送ったあと、そのままパスワードを同じ宛先に誤送信するリスクが高いため、メールの誤送信対策としてあまり意味を成しません。誤送信を防ぐには、不注意や確認漏れといった根本的な原因を取り除く必要があります。

PPAPの代替手段となるツールや手法

PPAPの代替手段として、現在では「クラウドストレージ」や「グループウェア」などが注目されています。

クラウドストレージとは、高いセキュリティ体制が敷かれたクラウド上にファイルを保管できるサービスです。保管場所のURLを相手に伝えることで、ファイルのやり取りが可能です。URLが流出すると情報漏えいのリスクはありますが、適切な権限を設定することで管理がしやすいという特徴があります。

一方、グループウェアとは、企業やチームで情報共有するためのアプリケーションソフトをいいます。自社サーバーの不要なクラウドタイプが主流で、クラウド上のグループウェア内でチームメンバーが簡単にファイルやスケジュールを管理できます。グループウェアでは、設定された権限に応じてファイルのやり取りや共有、編集なども行えるため、業務の効率アップにもつながります。

まとめ

PPAPとは、ファイルをパスワード付きのZIP暗号化ファイルでメール送信し、続けてパスワードを同様に知らせるセキュリティ対策です。これまで多くの企業が取り入れてきたセキュリティ対策ですが、パスワードの脆弱性や誤送信対策が不十分なこと、マルウェアに対処できないことなどから、続々と廃止が進められています。

現在では、安全性の高いクラウドサービスの導入により、高いセキュリティを担保しつつファイルの共有が可能です。その中でも「HENNGE One」は、多様な業界・業種で導入されており、国内マーケットシェアNo.1を誇るツールです。クラウド上のさまざまなリスクからデータを守る、強固なセキュリティ体制を構築します。PPAPに代わるセキュリティ対策の導入を検討されている方は、ぜひご利用ください。

どうする!?どう実現する!?脱・PPAP

メルマガ登録

RECENT POST「メールセキュリティ」の最新記事


メールセキュリティ

S/MIME とは何か?メール暗号化や電子署名の仕組みなどを紹介

メールセキュリティ

無制限で使用できるクラウドストレージとは?法人プランを比較

メールセキュリティ

メール添付ファイルの暗号化リスクとは? やり方や代替策も紹介

メールセキュリティ

【注意】PPAPとは?その問題点と5つの代替案

PPAPを企業が廃止する理由とは?問題点も解説