PPAPとは、パスワードを設定したファイルをメールで送信し、その後に違うメールでパスワードを送信する仕組みのことです。
長い間、多くの国内の企業では社外間でのファイル共有方法として、PPAPが採用されていました。
しかし、PPAPの廃止を進める企業も増えており、多くの企業では脱PPAPに向けたファイル共有方法の見直しがされてきています。
PPAP廃止を企業がするべき理由や脱PPAPに向けた取り組み、PPAPに代わるファイル共有方法について確認しましょう。
PPAPを廃止する企業が増えている背景
PPAPは使用当初から、セキュリティ面について問題視はされていましたが、比較的多くの企業で採用されていました。
しかし、PPAPを廃止することを宣言している企業が増えています。
PPAP廃止を企業が進めている背景を確認していきましょう。
国も廃止を宣言した
2020年、当時のデジタル改革担当大臣であった平井氏は中央省庁、内閣府、内閣官房でPPAPを廃止する方針を宣言しました。
また、文部科学省もPPAPの廃止を宣言し、ファイルの共有にはクラウドストレージを利用することを説明しています。
国の政府が先頭となり、PPAP廃止を進めたことがきっかけで、徐々に民間企業にもPPAP廃止の風潮が流れ込んでいるのが現状です。
大手のベンダー会社も廃止している
実際に、平井氏の宣言により、多くの最大手ベンダー会社がPPAPの廃止を宣言しました。
具体的には、以下の会社がPPAPの廃止を進めています。
- 日立グループ:2021年12月13日以降、全てのメール送受信において、パスワードつきZipファイルの利用を廃止
- NTTグループ:2021年7月に社内規定を改定し、PPAPの使用を基本的に廃止。しかし、時と場合によりけりでPPAPを使用する場合もある。
- 伊藤忠テクノソリューションズ(CTC):PPAPを原則廃止しているが、顧客とのやりとりで必要な場合は使用する。また、代替手段となる製品の開発も進めている。
大手の民間企業がPPAP廃止を進めていることにより、他の企業もPPAP廃止の流れになってきています。
全体的に見ればPPAP廃止は進んでいない
JIPDEC/ITRが発表した「企業IT利活用動向調査2022」によると、PPAPを利用している企業は全体の30.5%存在し、PPAPのメールを受けとっている企業は52.9%もいることが明らかとなっています。
さらに、PPAPの利用を禁止している企業は、合計で17.9%と、20%にも満たないのが調査段階における現状です。
PPAPは政府が先陣を切って廃止することを宣言し、大手の民間企業も合わせるように廃止を進めてはいますが、全体的には廃止を進めている企業は少なくなっています。
これは長年の間、PPAPは日本の企業のビジネスで使われていた手法であるため、簡単には他の手法に移行できないと考えられているのでしょう。
しかし、セキュリティ対策が必須となっているなかで、脱PPAPを進めていくことが企業には求められています。
PPAP廃止を企業が進めるべき理由
そもそも、PPAPを廃止しなければならないのは、どうしてでしょうか。
これまで、PPAPで問題視されていた点からPPAP廃止を企業がすべき理由を確認しましょう。
セキュリティ対策ができているつもりになっている
PPAPは、パスワードつきのファイルを送信し、その後にパスワードを送信する仕組みです。
パスワードを別で送信することで、最初のメールが盗み見られたとしてもファイルが開封されることはない点で、セキュリティ対策がなされたとみなされ採用されていました。
しかし、パスワードが書かれたメールが盗み見られない保証はどこにもなく、実際はセキュリティ対策がなされていない点が問題です。
セキュリティ対策になっていないのに、セキュリティ対策ができていると思い込んでしまっている状態は危険であり、PPAPはセキュリティ対策にならないので廃止が進められています。
メールを誤送信したら情報漏洩になる
パスワードつきのファイルが添付されたメールを、間違えて違う宛先へ誤送信してしまった場合、ファイルはパスワードがついているので開かれないかもしれません。
しかし、パスワードを記載したメール自体も誤送信してしまえば、意味がないでしょう。
どちらも誤送信する可能性は高く、ヒューマンエラーによって情報漏洩をすることがあります。
誤送信しないためのセキュリティ対策も大切ですが、どちらのメールも情報漏洩に繋がる重要なメールです。
いつ盗み見られるか分からないため、PPAPは廃止したほうが良いでしょう。
パスワード解析ソフトで盗み見られる
いくら難しいパスワードでも、パスワードは簡単に解析されます。
パスワード解析ソフトは数多くの種類があり、有料のソフトを使えば一瞬で解析されるでしょう。
なぜなら、Zipファイルは何回でもさまざまなパスワードを試すことができるからです。
ログインに必要なパスワードやPINコードであれば、一回で試せる回数は限られています。
しかし、Zipファイルのパスワードに利用制限はされておらず、試せるだけ試せてしまうデメリットがあります。
そのため、PPAPはセキュリティ対策が万全ではなく、情報漏洩に繋がる可能性が高い方法であるといえます。
ウイルスチェックが働かない
ウイルスソフトによっては、パスワードが設定されているZipファイル内に、マルウェアなどのウイルスが含まれているかどうかをチェックすることができません。
そのため、取引先からきたものだと判断しZipファイルを開くと、パソコンがウイルスに感染してしまう恐れもあるでしょう。
近年はEmotetも流行しており、取引先を装ってウイルスつきのファイルが送信されることもあります。
実際にEmotetによる情報漏洩などのトラブルは後を絶たず、問題となっています。
メールや添付ファイル経由のマルウエア感染のリスクが高い中で、PPAPによるZipファイルの共有は特に危険視され、廃止が進められています。
サイバー攻撃に弱い
サイバー攻撃者がネットワークを攻撃することで、通信パケットがバレてしまいます。
その状態でPPAPのやり取りをすれば、簡単に情報が漏洩してしまい、パスワードを後から送信したとしても無意味です。
さらに、PPAPはウイルスチェックもすり抜けてしまうため、さまざまな点においてサイバー攻撃に弱いと言えるでしょう。
近年はサイバー攻撃による情報漏洩の数も多く、企業には高度なセキュリティ対策が求められています。
そのため、セキュリティが脆弱であるPPAPの廃止が急務となっています。
企業のPPAP廃止にクラウドストレージが適している理由
PPAPの代替案として、多くの企業で使われているツールが、クラウドストレージです。
クラウドストレージがなぜPPAPの代わりとして適しているのかを確認していきましょう。
URLの無効化ができるため情報漏洩を防止できる
クラウドストレージは、ネット上にデータを保管し、保管されたURLをメールやチャットツールなどに記載して共有します。
URLは何度も変更ができ、無効化することも可能です。
そのため、万が一URLを記載したメールを誤送信しても、すぐに無効化すれば情報漏洩に繋がりません。
PPAPの場合、誤送信してしまうと簡単に漏洩してしまいますが、反面クラウドストレージは送ってしまったあとでも防ぐことができます。
大容量のファイルのやり取りが可能
クラウドストレージであれば、大量のファイルを保管することが可能です。
メールの場合、添付できるファイルには上限があります。
たとえ大容量のファイルを添付して送信したとしても、受信側のサーバーによっては容量が大きい場合は受信できなくなるでしょう。
また、場合によってはサーバーが落ちてしまう可能性も考えられます。
しかし、クラウドストレージを利用すればメール添付で起こり得るような問題の心配もなくファイルの共有ができます。
閲覧できる人を管理できる
クラウドストレージは、閲覧できるユーザーを管理できます。
そのため、許可していない人がURLをクリックして見ようとしても、中を確認することはできません。
たとえばURLが第三者にバレてしまっても、管理側が許可さえしなければ、情報漏洩を防ぐことができます。
また、クラウドストレージの多くは通信を暗号化しています。
クラウドストレージ側と閲覧者の間の通信を、SSL/TLSを利用して暗号化するため、見られる心配もありません。
さらに、保存されているファイル自体も暗号化されるため、PPAPのパスワードつきのZipファイルよりはるかに安全に共有できるでしょう。
企業の脱PPAPへの第一歩にセキュアSAMBA
PPAPは以前から問題視されていましたが、セキュリティ対策を高めるために、廃止を宣言する企業が増えています。
PPAPに代わり、多くの企業で採用されている新しいファイル共有方法がクラウドストレージです。
クラウドストレージはPPAPと比較するとセキュリティレベルも高く、情報漏洩のリスクも低いため、脱PPAPの方法の第一歩として効果的です。
クラウドストレージの導入を進めたいのであれば、セキュアSAMBAのご利用をご検討ください。
通信、ファイルの暗号化はもちろん、完全国産のクラウドストレージであるため安心してファイルの共有ができます。
また、操作性もシンプルであり、誰でも使いやすい点が特徴で多くの中小企業にご利用いただいております。
PPAPの廃止をすすめ、安全かつ効率的なファイル共有手段として無料から使えるセキュアSAMBAをお試しください。
