PPAPとは?パスワード付きZIPファイルの概要と問題点について

 2021.11.18  クラウドセキュリティチャネル

「PPAP」は従来、取引先へファイルを送信する方法として広く使われていました。しかし現在では、PPAPに複数の問題があることが認識されており、政府機関ならびに多くの企業で禁止の方向に動いている状態です。そこで本記事では、PPAPの概要や問題点、代替手段について紹介します。

PPAPとは

「PPAP」とは、ZIP形式で暗号化・圧縮したファイルをメール添付で相手へ送り、そのあとに復号用のパスワードを別メールで送信する方法です。PPAPは以下の頭文字から成り立っています。

  • 「P」:パスワード(Password)付きZIPファイルを送信
  • 「P」:パスワード(Password)を送信
  • 「A」:暗号化(Angoka)
  • 「P」:プロトコル(Protocol)

お気づきの方もいるかもしれませんが、PPAPという呼称は、以前YouTubeで流行した同じ名前の曲が由来となっています。流行曲の響きが「プロトコルのようだ」という人にヒントを得て、日本人が名付けたとも言われています。

PPAPは、これまで多くの日本企業や政府機関で広く使われてきました。しかし近年、セキュリティ上の数々の問題点が指摘されており、使用を禁止する動きが加速しています。

できることから考える-PPAPの現状と代替案について-
Microsoft 365だけでは不十分?メールセキュリティ対策3つの落とし穴

PPAPが過去使用されてきた理由とは

PPAPが普及した背景には、パスワード付きZIPファイルをメール添付で送付する方法が、Pマーク(プライバシーマーク)によりセキュリティ対策と認定されたことがあります。ただ、Pマークでは当初、パスワードを電話などの別チャネルで伝えることを想定していました。

しかし、別チャネルでパスワードを伝えるのは手間がかかることから、別メールでならパスワードを送付してよいとする企業が増えたのです。その結果、広くPPAPが使われるようになりました。

PPAPの問題点とは

昨今では、PPAPの問題点が広く知られるようになったため、多くの企業が使用を禁止しています。では、PPAPには具体的にどのような問題があるのでしょうか。以下で1つずつ見ていきましょう。

添付ファイルのウイルスチェックができない

従業員のPCがウイルスに感染するのを防ぐため、各企業はウイルス対策に余念がありません。しかしパスワード付きZIPファイルの場合、仮に内部のファイルがウイルス感染していても、ウイルス対策ソフトが検知できないという問題があります。

つまり、ウイルス対策を講じていたとしても、パスワード付きZIPファイルにしたことで、かえって相手のPCがウイルス感染してしまう可能性が高まるわけです。実際、世に出回っているウイルスの中には、パスワード付きZIPファイルの形式をとって送信されるタイプもあります。

パスワードが解析されやすい

実のところ、パスワード付きZIPファイルのパスワードを解析することは、さほど難しくありません。パスワードを解析できるツールが存在するうえに、関連ツールは誰でも簡単に入手できるからです。特に、パスワード付きZIPでよく使われる暗号化方式「ZipCrypto」なら、現在ではごく短い時間で解析できてしまいます。

また、パスワード自体も規則的な数列や日付、使い回しなどで安直に設定されるケースが多く、予想・解析のされやすさに拍車をかけています。

誤送信対策としてあまり有効ではない

セキュリティ対策として認識されているPPAPですが、実はメールの誤送信対策として見ると、あまり有効性を発揮しません。というのも、PPAPではメールというチャネルを使用する以上、ヒューマンエラーによる誤送信が生じる可能性を否定できないからです。

メールを誤送信する要因には、大きく分けて「宛先の間違い」「内容の間違い」「セキュリティポリシー違反」の3つが挙げられます。これらは不注意・確認漏れにより発生するケースがほとんどであるため、そうしたヒューマンエラーを予防しなければ根本的な誤送信対策ができているとは言えません。

また、パスワードをメールではなく電話やFAXで伝える方法もありますが、電話は相手とタイミングを合わせて通話しなければならないため、メールに比べ利便性で大きく劣るうえ、パスワードの聞き間違いも起こり得ます。片やFAXも、昨今のペーパーレス意識の向上に伴い、廃止を検討あるいは実行済みの企業も少なくないことから、有効な手段とは言えません。

送信者・受信者の手間がかかる

PPAPではファイルを送信するにあたり、送信者・受信者の負担が大きくなる点も注意しなくてはなりません。わざわざメールを2回送受信したり、パスワードを管理したりする必要があるほか、送受信のたびにZIP暗号化やファイル開封などの工数も発生します。その結果、送信者・受信者ともに作業効率がダウンしてしまい、本来の業務に支障をきたす恐れがあるのです。

政府がPPAP方式を禁止した理由

かつては内閣府でもPPAPによるファイル送受信を行っていました。しかし、国民からデジタル改革に関するアイデアを募集する「デジタル改革アイデアボックス」に、PPAPに関する陳情や廃止を求める声が多数寄せられたことで、方針が変わります。

平井内閣府特命担当大臣(当時)は、2020年11月17日の会見で、「内閣府・内閣官房においてPPAPの使用を禁止する」旨の発言をしました。これを受け、それまでPPAPの仕様について問題視・疑問視してきた企業らも、続々と禁止の方向に動き始めています。
参考:https://www.cao.go.jp/minister/2009_t_hirai/kaiken/20201117kaiken.html

PPAPの代替手段となるツールや手法

では、これまでPPAPを使用してきた企業は、次なるファイル送付方法として、一体どのような手段を採用すればよいのでしょうか。以下では、より安全なファイル送付方法の代表例をいくつか紹介します。どの方法が適しているかは企業によって異なるため、自社に適した方法を検討してみてください。

クラウドストレージ

セキュリティ対策がしっかり施されたクラウドストレージなら、ファイルの受け渡しに使う方法としても適切です。クラウドストレージによっては、認証やアクセス制限を設けられるものもあるため、そうしたサービスを利用するとセキュリティも保たれます。

仮にアクセス制限などを設けなくても、少なくてもURLさえ相手に知られなければ、ファイルを不正にダウンロードされることはありません。また、URLを誤った相手へ教えてしまった場合も、ダウンロード前にクラウドストレージから削除すれば被害は防げます。さらに、アクセスログの管理やチェックといった機能もあると、より堅牢なセキュリティ体制を構築できます。

グループウェア

グループウェアには、簡単に取引先とファイル共有できる機能を備えた種類もあります。そういったグループウェアであれば、手間なく相手とファイル共有が可能です。ファイルだけでなくスケジュールなども総合的に管理できることから、業務効率の向上にも寄与します。

専用のファイル転送サービス

ビジネスで使える品質のファイル転送サービスもあります。これらのサービスでは、送信やダウンロードのログ提供、データ自動削除など複数のセキュリティ機能が利用可能です。PPAPと比べ、ずっと安全かつ手軽に相手へファイルを送信できるでしょう。

まとめ

PPAPはパスワード付きZIPファイルを利用し、相手へ重要なデータが掲載されたファイルを送信する方法です。具体的には、最初にパスワード付きZIPファイルをメール送信し、次にパスワードを別のメールで送信します。

しかしPPAPは、パスワード付きZIPファイルのパスワード解析が簡単などの理由により、実際のところセキュアなファイル共有方法とは言えません。誤送信対策としても有効ではなく、パスワード付きZIPファイルの中身がウイルス検知できない点も問題として指摘されています。そのため、現在では多くの企業で禁止されています。

取引先へ安全にファイルを送信したい場合は、グループウェアやクラウドストレージなどを利用するとよいでしょう。「HENNGE One」を活用すれば、メールの添付ファイルを自動的にクラウドストレージへ格納してURLを相手に伝えることもできる他、ファイル転送ツールも提供しています。また、グループウェアやBox、Dropboxなどのクラウドストレージへの多要素認証SSOにも対応しており包括的な脱PPAP関連のセキュリティ対策が可能です。ぜひ検討してみてはいかがでしょうか。

HENNGE Oneの導入事例集

RECENT POST「メールセキュリティ」の最新記事


メールセキュリティ

PPAPのZIP暗号化における問題点とは?わかりやすく解説

メールセキュリティ

PPAPの危険性:禁止される理由や代替案を紹介

メールセキュリティ

PPAP使用は危険?問題点と政府が廃止した理由を徹底解説

メールセキュリティ

PPAPを企業が廃止する理由とは?問題点も解説

PPAPとは?パスワード付きZIPファイルの概要と問題点について
CTA
CTA

RECENT POST 最新記事

CTA

RANKING人気記事ランキング