内閣府が2020年11月にPPAPの廃止を発表したことで、民間企業の間でも少しずつ脱PPAPの流れが加速しています。しかし現状では、まだまだPPAP方式でファイルを送受信している企業も少なくありません。そこで本記事では、PPAPの全面禁止が進みつつある理由や問題点などを詳しく解説します。
PPAPとは
「PPAP」とは、メールの送受信におけるセキュリティ対策のひとつで、パスワード付きZIPファイルの送信直後にパスワードを別送する送信方式を指します。具体的には、まずメールの送信者はパスワード付きZIPファイルを添付して1通目を送ります。そして、その直後にパスワードを記載した2通目のメールを送る、というのがPPAPの基本的な流れです。
たとえば、社外秘情報を添付したメールを別人に誤送信してしまった場合、状況によっては大問題に発展する可能性があります。しかし、PPAP方式の場合は、仮に1通目のメールを誤送信しても、パスワードが記載された2通目を送信しなければファイルを開けません。このような特性から、「Password protected ZIP file(パスワード付きZIPファイル)」「Password(パスワード)」「Angoka(暗号化)」「Protocol(プロトコル)」の頭文字をとって「PPAP」と呼ばれています。
PPAP方式によるメールの送受信が普及し始めたのは、2005年頃から2010年にかけてとされています。2005年4月に個人の権利と利益の保護を目的とする「個人情報保護法」が全面施行され、政府機関や多くの企業で情報漏洩インシデントを防ぐ手段として広まっていきました。そんなPPAPですが、実は近年、セキュリティの脆弱性が懸念されるようになり、脱PPAPの流れが加速しています。
PPAPの全面禁止が進む理由
かつてはファイルの安全な送信方式として普及したPPAPですが、政府機関はもとより、民間企業の間でも時代遅れの手法となりつつあります。現に、政府はPPAPの廃止を発表し、大手ITベンダーも次々と脱PPAPを宣言しているのが実情です。
政府がPPAPの廃止を決定
2020年11月24日の記者会見にて、デジタル改革担当大臣が内閣府および内閣官房における脱PPAPを発表しました。具体的な理由としては、デジタル庁設置に伴い政策を募った際、PPAPの問題点を指摘する声が多く寄せられたためとされています。
中央省庁間では、ファイルのやり取りに専用ネットワークが使用されていますが、外部とのやり取りに関してはPPAP方式が使用されていました。しかし後述するように、サイバー攻撃に対してほぼ無力な点や、受信側の作業負担が大きいといった問題点があり、セキュリティや利便性の観点から廃止となったのです。
大手ITベンダーが次々と脱PPAPを宣言
かつてファイルの送信方式としてデファクトスタンダードとなったPPAPですが、政府機関が廃止を発表した影響も相まって、民間企業でも脱PPAPの流れが加速しています。とくに日立や富士通、NTTデータなど大手ITベンダーが次々と脱PPAPを宣言しており、その流れはさまざまな業界や業種に波及しつつあります。
なかでも、日立グループにおいて情報通信分野の中核を担う日立ソリューションズは、メール暗号化ツール「秘文AE MailGuard」の保守サポートを2022年6月に終了すると発表し、大きな話題となりました。
PPAPにはどんな問題点があるのか
ここからは、PPAPが抱える具体的な問題点について見ていきましょう。先述したようにPPAPの目的は、ファイルを添付したメールとパスワードを記載したメールの別送によって、セキュリティの強化を図ることです。しかし、パスワード付きのZIPファイルとパスワードを別送するとしても、基本的には同じメールアドレスから送信されます。そのため、1通目のメールが窃取された場合、同じメールアドレスから送信される2通目も同様に窃取される可能性が高いといえるでしょう。
もうひとつの問題点として、サイバー攻撃に対してほぼ無力な点が挙げられます。たとえば2014年には、「Emotet」というマルウェアが世界的に大流行しました。これはメールの添付ファイルやリンク先を感染経路とした不正プログラムで、感染するとメール情報が窃取され、巧妙なばらまきメールが作成されます。Emotetは、メールサーバーにセキュリティ対策が施されていれば、自動的に検知される可能性があります。しかし、ファイルがパスワード付きZIPで暗号化されている場合、セキュリティソフトが検知できない可能性があり、かえって感染リスクが増大するという皮肉な結果を招きかねません。
また、メールを受信する側の作業負担が大きく、業務効率と労働生産性の低下を招くという点も大きなデメリットです。PPAP方式では、受信者はファイルが添付された1通目とパスワードが記載された2通目のメールを、個別に受信するという手間がかかります。ただでさえセキュリティを担保しきれないのに、このような二度手間なやり取りを行うのは不毛といえるでしょう。
このようにセキュリティや利便性など、さまざまな観点から見てもPPAP方式は時代遅れになりつつあります。
脱PPAP対応の新機能を追加した「HENNGE One」
企業にとってセキュリティ環境の強化は非常に重要な経営課題であり、PPAPを廃止するのなら代替案を用意しなくてはなりません。そこでおすすめしたいのが、HENNGE株式会社が提供するサービス「HENNGE One」の導入です。
「HENNGE One」は、Microsoft 365やGoogle Workspaceと連携することでメールセキュリティを強化するソリューションです。メール添付ファイルを保護して送信する脱PPAP機能をはじめとするメール誤送信対策機能のほか、Emotet等のマルウェアに対応するメール脅威対策といった包括的なメールセキュリティを提供しています。また、多要素認証(MFA)によるアカウント保護にも対応しており、堅牢なセキュリティ環境の構築を目指すのなら、ぜひ導入しておきたいソリューションです。
まとめ
企業にとって情報はヒト・モノ・カネに次ぐ第4の経営資源であり、セキュリティ管理は最も重要な経営課題のひとつです。PPAP方式によるファイルの送受信は、サイバー攻撃に対してほぼ無力であり、また受信側の作業負担も大きく、効率的な方法とはいえません。かつて政府機関や多くの企業がPPAP方式を導入していたものの、今や時代遅れの方法になりつつあります。脱PPAPを実現し、セキュアな送受信方式を確立するためにも、「HENNGE One」の導入を検討してみてはいかがでしょうか。
