PPAP使用は危険?問題点と政府が廃止した理由を徹底解説

 2023.08.09  クラウドセキュリティチャネル

PPAP」とは、電子メールを用いてファイル共有する際の安全性を高めるセキュリティ対策です。しかし、PPAPは以前からセキュリティの脆弱性が指摘されており、2020年に日本政府はPPAPを今後廃止する旨を公表しました。本記事では、このPPAPの概要と、政府が廃止した理由につながる問題点について解説します。

政府が廃止したPPAPとは

2020年11月、日本政府は内閣および内閣官房での「PPAP」の使用を廃止する方針を公表しました。しかし、そもそもこのPPAPとは一体どういったものなのでしょうか。

まずPPAPとは、電子メールを利用したファイルの送受信における安全性を高めるための手法です。PPAPという名称は、以下の頭文字を取って付けられています。

「P」assword付きZIP暗号化ファイルを送信する
「P」asswordを送信
「A」ngoka(暗号化)
「P」rotocol(手順)

PPAPにおいては、最初に暗号化されたパスワード付きのZIPファイルを送信し、そのあと暗号を解除するためのパスワード情報を送ります。これにより、たとえ一方のメールを誤送信しても、受信者はZIPを開けないため、ユーザーは情報を保護できるという仕組みです。PPAPはメールにおけるファイル共有の安全性を高めるため、長らく内閣府や民間企業において使用され続けてきました。

どうする?どう実現する?脱・PPAP

日本政府がPPAPを廃止する理由とは

先述したように、2020年11月に平井大臣(当時)がPPAPの利用を内閣府において廃止する意向を明らかにしました。この決定は、「デジタル改革アイデアボックス」という政府の意見募集サイトに多数寄せられた意見を参考にしたものです。では、なぜPPAPの利用をやめるべきなどという意見が噴出したのでしょうか。その理由は、次項でご説明するように、PPAPもセキュリティ上万全ではなく、運用面の負荷も問題視されたことです。

PPAPのセキュリティ問題における具体例

政府はPPAPのどのような部分を警戒して、利用を取りやめたのでしょうか。以下では、政府や専門家が警戒するPPAPの問題点について解説していきます。

マルウェア問題の流行

PPAP方式のもっとも大きな欠点として、マルウェアに対応できないことが挙げられます。というのも、普通のウイルス対策ソフトだと、メールに添付されたパスワード付きZIPファイルがマルウェアを含んでいたとしても、チェック機能がうまく働かないのです。それゆえPPAPは、受信者側の危険性が高い方法と言えます。

例えば「Emotet」は、パスワード付きZIPファイルのこの欠点をまさに狙い打ったマルウェアで、ユーザーがZIPファイルを解凍しようとした際に感染させるものです。Emotetは世界中で被害を出しており、今やパスワード付きZIPファイルをブロックしている企業も少なくありません。今後PPAP方式を拒否する企業がさらに増加することも考えられます。

誤送信のリスクがある

PPAPの欠点として、誤送信そのものを防げないことも挙げられます。例えば、ユーザー側が逐一宛先を入力・確認するのを怠り、メールの返信機能などを利用して2通目のメールを送ってしまえば、「誤った宛先に2回続けてメールを送ってしまう」という事態が起こり得ます。
このような事故発生の恐れもあるため、PPAPは誤送信対策として本質的には十分な有効性を持っていないと考えられています。

また、1回目のメール(パスワード付きZIPファイル)のみを誤送信したとしても、見知らぬ相手に機密ファイルが渡ってしまったという事実は変わりません。近年ではパスワード解析用のソフトも高機能化しているため、簡単な暗号ならすぐに特定されてしまいます。このように、多くの企業が導入している割には、PPAPの実効性はさほど高くないのです。

PPAP総研の大泰司氏も問題定義している

上記で挙げたPPAPの脆弱性は、PPAPの名付け親であるPPAP総研代表・大泰司章氏も指摘しています。同氏によれば、PPAPには大きく分けて2つの問題があります。それは「マルウェア対策として不十分である」点と、「受信者側の負担が重く、業務効率の低下を招く」という点です。要するに、PPAPは先述したセキュリティ上のリスクに加え、運用上のリスクも抱えているということです。

PPAPの運用上の問題とは、端的にいうと受信者側の負担が大きいことです。PPAPの場合、受信者はファイルを受け取るたびに2回に渡ってメールを受信・確認し、いちいちファイルを解凍して、パスワードを入力しないといけません。

これはファイル共有を頻繁に必要とする人にとって、地味に煩雑な作業です。しかも、手間の割にそれほど大きな効果は見込めず、人によっては徒労に思えてしまう場合もあるでしょう。

これらの問題点は、政府がPPAPの廃止を発表する前から、専門家の間ではすでに知られていました。しかし、多くの企業がそれを無視してPPAPを利用し続けていたのです。

大泰司氏の指摘によれば、この改善の遅れは多くの場合、「それが社内ルールだから」というおよそ無根拠のものであったり、PPAPを実施しているのが重要な取引先で、異議が唱えづらかったりすることに起因するようです。もっとも、政府がPPAPの廃止を公表したことから、今後は民間企業においてもこの流れが広がっていくことは十分予想されます。

ファイルを安全に送信するには

上記のことからPPAPの運用は今後、見直していくことが必要です。しかし、PPAPの効果が薄いからといって、ファイル共有を安全に行わなければいけない点に変わりはありません。そこで続いては、PPAPを今後続けていくうえでの対策、あるいはPPAPの代替手段について解説します。

PPAP運用でパスワードを長く設定

あくまでPPAPを続ける場合の方策としては、「メール送信の仕方を変える」「パスワードを複雑化する」などが挙げられます。具体的には、誤送信リスクを最小化するため、パスワード情報は1通目と別経路のメールで送ったり、メール以外のSMSやFAXなどで送信したりするなどです。

あるいは、不正に解析されるリスクを鑑みて、パスワードを長く複雑なものに設定するといった対策も有効です。とはいえ、こうした対策法は受信者側の負担をさらに増大させる欠点もあるため、実現性にやや乏しいのも事実です。

S/MIMEを活用する

メールの安全性を向上する暗号化方式「S/MINE」を利用するのも効果的です。S/MIMEでは、送信者の真正性を担保する電子証明書を利用するため、なりすましメールなどの対策としても期待できます。またファイル共有において、メールという現状でもっとも一般的なビジネスツールを使い続けられるメリットもあります。ただし、S/MIMEを利用する場合は、送信者・受信者の双方がこの方法に対応できなければいけません。

クラウドサービスを利用する

メールに代わるファイル共有手段として高く期待されているのが、クラウドサービスの活用です。SSL/TLSによる暗号化が可能な、ファイル転送できるクラウドサービスを利用することで、安全性を確保したうえでファイル共有が行えます。

また、クラウドストレージを使えば、アクセスするためのURLやパスワードを相手方に送ればよいだけなので、非常に効率的に情報をやり取りできます。クラウド上でファイル内容のチェックや共同編集が可能なのも、大きなメリットと言えるでしょう。

まとめ

PPAPとは、暗号化されたZIPファイルとそのパスワードを2回に分けて送信することで、メールによるファイル共有の安全性を高める手法です。しかしPPAPは、マルウェアなどへの対策として重大な脆弱性が発見されており、これにより日本政府はPPAPの廃止を決定しました。日本政府の決定を受け、今では民間企業でもPPAPの運用を見直す機運が高まっています。

「HENNGE E-Mail Security Edition」は、GmailやExchange Onlineと連携するセキュリティソリューションです。メール添付ファイルの自動URL化機能などでメールセキュリティを強化し、企業のPPAP運用の見直しをサポートします。PPAP問題への対策を検討中の企業様は、ぜひ導入をご検討ください。

ファイル共有完全ガイド 2022 〜脱PPAPにとどまらない生産性と安全性の劇的アップに向けて〜

RECENT POST「メールセキュリティ」の最新記事


メールセキュリティ

増加するビジネスメール詐欺(BEC詐欺)に注意|事例や対策を紹介

メールセキュリティ

メール誤送信対策の必要性と有効性について解説

メールセキュリティ

PPAPの危険性:禁止される理由や代替案を紹介

メールセキュリティ

PPAPとは?パスワード付きZIPファイルの概要と問題点について

PPAP使用は危険?問題点と政府が廃止した理由を徹底解説