PPAPの問題点とは?セキュリティ上の懸念点と対処方法
目次[非表示]
- 1.PPAPとは
- 1.1.PPAPが広まった背景
- 1.2.PPAPが禁止されるようになった流れ
- 2.PPAPの問題点
- 2.1.根本的なセキュリティ対策になっていない
- 2.2.マルウェア感染経路になる可能性
- 2.3.使い勝手が不便
- 2.4.取引先に受け取り拒否される可能性がある
- 3.PPAP問題への対処法
- 3.1.クラウドストレージに移行する
- 3.2.セキュリティ機能の高いファイル転送サービスを利用する
- 3.3.チャットツールでのファイル共有
- 4.PPAP問題へ対処にクラウドストレージを利用しよう
メール添付ファイルを暗号化する手法として広まったPPAPですが、実はセキュリティ上の問題を数多く抱えています。
PPAPの危険性が広く知られてくるなかで、PPAPを禁止している企業も出てきました。
この現状を知らずPPAPを使い続けていると、セキュリティ意識の甘い企業という認識を持たれてしまうかもしれません。
PPAPの問題点とPPAP問題の対処法を知り、安全なファイル共有方法について考えていきましょう。
PPAPとは
PPAPとは、「暗号化されたzipファイルとパスワードをメールで送ること」の略称です。
PPAPの頭文字は、それぞれ暗号化ファイルとパスワードを送る手順を表しています。
- 1番目のPは「Password付きzipファイルを送ります」
- 2番目のPは「Passwordを送ります」
- 3番目のAは「暗号化(Angouka)」
- 4番目のPは「Protocol(手順)」
取引先にファイルを共有する際に広く行われていた手法で、パスワード付きzipファイルで暗号化してメールで送信しつつ、復号するためのパスワードを別のメールで送るという手順となっています。
PPAPが広まった背景
PPAPは長年、多くの日本企業において「安全にファイルを送る手段」として定着してきました。背景には、セキュリティ意識の高まりと、簡単に導入できたことが考えられます。
特別なシステムやツールが不要で、既存のメール環境だけで実施できるため、中小企業から大企業まで広く利用されてきました。
PPAPが禁止されるようになった流れ
しかし、近年ではPPAPの安全性に問題があることが指摘され、使用禁止の流れが進んでいます。
大きな転機となったのは、政府がPPAP問題に言及したことだといえます。
2020年11月17日、当時の平井デジタル担当大臣が記者会見にて、「中央省庁ではPPAP方式を使ってはいけない」と発表しました。さらに翌週にはパスワード付きZIPファイルの使用の取りやめも発表しています。
JIPDECという、企業の個人情報の管理がしっかりしているかを認定する「プライバシーマーク制度」運営団体も、PPAP問題について声明を出します。これまでは「PPAP方式を使っていればプライバシーマークを取れる」という誤解が広まっていましたが、プライバシーマーク制度ではPPAP方式を推奨していないとはっきり示しました。
こういった流れにより、多くの大企業もPPAP廃止に追随し、PPAP問題が広く知られていくようになります。
PPAPの問題点
PPAPは何がそんなに問題なのでしょうか。PPAPの問題点を具体的に確認していきましょう。
根本的なセキュリティ対策になっていない
PPAPの一番の問題は、「暗号化したzipファイルを送るメール」と「そのパスワードを送るメール」を、同じルートで送ってしまうことにあります。
本来、パスワードは別の手段で伝えることで安全性を確保するはずでした。ところが実際には、zipファイルもパスワードも同じメール経路で送るケースが一般的になってしまったのです。
これでは、もしメールが盗み見られてしまった場合、ファイルもパスワードも両方まとめて取られてしまう危険があります。ハッカーはメールのセキュリティを破るという「1回」の労力で目的のファイルを奪取できてしまうことから、PPAP方式はセキュリティ上ほとんど意味がないとされています。
また、パスワードにて暗号化されたzipファイルはセキュリティ対策ソフトでチェックできないことがある、という問題もあります。万が一zipファイルがマルウェアに感染していた場合、ファイルを共有する取引先は被害を防ぐことが難しくなります。
PPAPは、誤送信によるセキュリティリスクも指摘されています。メールの場合、一部メールソフトの一定時間キャンセル機能を除き、取り消しやファイルへのアクセス停止ができないため、一度誤送信してしまうと後からカバーするのが非常に難しくなります。
つまり、PPAPは見た目は「セキュリティ対策をしているように見える」ものの、実際には十分な安全性のある手段ではありません。今では多くの企業や官公庁が使用をやめ、より安心できるファイル共有の仕組みへ移行しつつあります。仮にPPAP方式で重要ファイルを送信しようとすれば、かえって取引先から信用を落とすリスクもあります。
マルウェア感染経路になる可能性
PPAPに使われるのは、暗号化されたパスワード付きzipファイルです。
しかし、すでに解説したように、暗号化されたzipファイルはウイルス対策ソフトで自動的にスキャンできず、マルウェアに対して脆弱になるという弱点があります。
マルウェアとは、パソコンやネットワークに被害を与える悪意あるソフトウェアの総称で、コンピュータウイルス、スパイウェア、ランサムウェアなどがその一種です。感染すると、情報が盗まれたり、業務システムが使えなくなったりする危険があります。
PPAPのこの弱点を突いたのが「Emotet」や「IcedID」といった、暗号化zipファイルを装って送られてくるマルウェアです。特にEmotetは、世界的に猛威を振るったことで知られています。メールの添付ファイルとして送られてきて、開封するとパソコンが感染し、アカウント情報やパスワードなどの情報を窃取した上で、なりすましメールを作成し感染を広げてしまいます。
つまり、本来セキュリティを高めるはずのPPAPが、逆にマルウェアの温床となり、Emotetのような巧妙な攻撃に悪用されてしまったのです。
使い勝手が不便
PPAPはとても使い勝手が悪いです。
送信者はファイルをzip形式に圧縮し、パスワード設定し、ファイル付きメールとパスワード記載メールを別々に送らなくてはなりません。
さらに、最近のwindowsではデフォルトの機能でパスワード付きzipファイルを作ることはできません。よって、まず最初にフリーソフトなどを導入する手間もかかります。
今度は受信者側です。
受信者は、パスワードを入力してzipファイルを解凍しなければなりません。
これもひと手間ですが、Andoroidスマートフォンユーザーはさらに面倒です。
zipファイルはデフォルトでは開けず、内容を確認するには特別なアプリが必要になるからです。
PPAPは送信者、受信者ともに余計な手間を取らせる方法なのです。
取引先に受け取り拒否される可能性がある
PPAPの問題は広く知れ渡っており、パスワード付きzipファイルの受け取り拒否をするところも出てきています。
すでにご紹介したように、内閣がPPAP問題への認識と廃止を宣言したことから、実際にはセキュリティ対策にならないことはかなり周知されてきました。
2020年12月には「freee」、2022年2月には「ソフトバンク」、同年3月には「三菱重工」がパスワード付きzipファイルの受信拒否を表明しています。
今後はパスワード付きzipファイルを送っても、取引相手に届かないかもしれません。
PPAP問題への対処法
PPAP問題を放置すると、今後の業務に支障をきたす可能性があります。PPAP問題に対処する方法をご紹介します。
クラウドストレージに移行する
PPAPの代わりとなるファイル共有方法としては、クラウドストレージがおすすめです。
クラウドストレージとは、インターネット上に用意された「ファイルの保管庫」です。ファイルを保存するとURLが発行され、そのURLを共有することで社内外問わず手軽にやり取りできます。大きなファイルでも、メールの容量制限を気にせず送れる点もメリットです。
さらに、クラウドストレージにはPPAPにはない以下のような機能があります。
- アクセス権限の設定:「閲覧のみ」「編集可能」などを指定でき、取引相手や状況に応じた柔軟なコントロールが可能
- 有効期限、ダウンロード制限:共有リンクに期限を設定したり、ダウンロード回数を制限したりすることで、意図しない利用を防止
- 共同編集機能:共有したファイル上で複数人が同時に編集できるため、テレワークや共同作業に最適
- ログ管理とセキュリティ機能:有料のクラウドストレージでは、誰がいつアクセスしたかを記録するアクセスログや、端末ごとのアクセス制御、多要素認証など高度なセキュリティ機能を利用可能
無料のクラウドストレージもありますが、ビジネス利用では情報漏えいリスクへの備えが欠かせません。法人向けに設計された有料サービスを選択することで、利便性とセキュリティを両立させたファイル共有が可能になります。
クラウドストレージは、「安全性」はもちろん、「利便性」「柔軟性」の面でもPPAPの課題を解決する有効な選択肢といえるでしょう。
セキュアSAMBAでは、上記のようなセキュリティ機能はもちろん、4つの国内データセンターによるデータの冗長化や、通信・保存ファイルの暗号化、インシデント対応などを行っており、セキュアな環境でのファイル保存や社内外への共有が可能となっています。
セキュリティ機能の高いファイル転送サービスを利用する
メール代わりにファイル転送サービスを使うこともできます。
無料のファイル転送サービスではセキュリティ面に不安がありますが、有料のものは様々なセキュリティ機能が充実しています。
パスワード設定だけでなく、通信回線の暗号化、ログ管理機能などを持っているファイル転送サービスを使えば、高い安全性の下でファイルの送受信が可能です。
ファイル転送サービスとして知名度の高い「ギガファイル便」について、その利便性や安全性についてまとめているので、あわせてご覧ください。
チャットツールでのファイル共有
業務用のチャットツールを使えば、とても簡単な手順で特定の相手にのみファイルを送信できます。
ChatWorkなどのビジネスチャットでは、送った後でもメッセージや添付ファイルを編集・削除できるため、誤った送信に気づいた際にも柔軟に対応できます。
仕組みとしても利便性と安全性が両立しています。ファイルは暗号化された通信で送受信され、クラウド上でアクセス権を設定できるため、必要な人にだけ共有できます。また、アクセス履歴が残るため「誰がいつダウンロードしたのか」を確認でき、セキュリティ面の管理もしやすくなっています。
ただし、チャットツールの利用にあたっても注意が必要です。強固なパスワードや二段階認証を有効にすること、社内でファイル共有ルールを定めることが、安全な利用につながります。また、退職者や外部メンバーのアカウント権限を放置するとリスクになるため、定期的な利用者管理も必要です。
PPAP問題へ対処にクラウドストレージを利用しよう
PPAPは一見すると安全なファイル共有方法のように見えますが、実際には安全性が不十分で、マルウェア感染のリスクを防ぎきれないという問題があります。
その代替手段として注目されているのが、クラウドストレージサービスです。クラウドストレージなら、暗号化通信やアクセス権限の管理、アクセスログの確認など、PPAPでは不可能な高度なセキュリティ機能を備えています。
さらに、ファイルの共同編集や大容量データのやり取りなど、法人利用に即した利便性も兼ね備えています。
無料のサービスも存在しますが、ビジネス用途ではセキュリティ機能が充実した有料サービスの利用が安心です。
セキュアSAMBAは、4つの国内データセンターによるデータの冗長化や通信・保存ファイルの暗号化、バックアップ、全ファイルのウイルスチェック、インシデント対応などの機能を有した国産のクラウドストレージサービスです。「ISO/IEC 27001:2022」を始めとした第三者認証も取得しており、通信や保存ファイルは必ず暗号化されるため、セキュリティを高めてオンラインストレージを利用したい企業におすすめです。
興味がある方は、ぜひセキュアSAMBAのフリープランから試してみてください。
