2022.09.28

セキュリティ対策

PPAPが禁止される理由とは?企業の動き、代替案を徹底解説!

取引先にファイルを共有する際に、パスワードつきZipファイルとパスワードを2通に分けて送受信する手法「PPAP」。以前は利用されることが多かった手法ですが、昨今においてPPAPの脆弱性が問題視されるようになり、政府や企業にいたるまで禁止する動きが強まっています。このような状況下において、自社で取り入れている「PPAP」の問題点や代替手段について悩んでいる企業の担当者も多いのではないでしょうか。

そこで今回は、PPAPとはなにか、その問題点やPPAPに対する政府や企業の動きをおさらいしながら、PPAPの代替案までを解説していきます。

PPAPとは

PPAPとは、パスワード付きの暗号化したZipファイルを使用したファイル共有手段のことです。そもそも「PPAP」という用語は、下記のファイル共有における手順の頭文字を取った造語です。

  • P:passwordつきzipファイルを送ります
  • P:passwordを送ります
  • A:Aん号化(暗号化)
  • P:Protocol 

参考:JIPDEC|くたばれPPAP!~メールにファイルを添付する習慣を変えるところから始める働き方改革~

具体的なPPAPの手法については、パスワード付きの暗号化したZipファイルを1通目のメールに添付したあと、2通目のメールにてパスワードを記載し送信するというものです。PPAPの手法が取り入れられた当初は、メール誤送信を防止したり、盗聴対策に効果があると期待されていました。そのほか、業務におけるコミュニケーションツールとしてメールが主流だったこともあり、PPAPはこれまで長きにわたり多くの企業で使われてきたファイル共有方法です。

PPAPに対する政府や企業の動き

これまで長きにわたり利用されてきたファイル共有手法「PPAP」ですが、近年、日本政府やさまざまな企業において、PPAPの利用を禁止する動きが見られるようになりました。ここでは一部の事例をご紹介します。

政府

2020年11月24日、デジタル改革担当大臣によって内閣府・内閣官房におけるPPAPの廃止が公表され、同月26日には廃止となりました。

また2022年1月4日、文部科学省においてもPPAPが廃止されました。それに伴い、パスワード付きZipファイルの代替案として、クラウドストレージ「Box」を利用することを発表するなど安全なファイル共有の仕組みを変えていく方針が打ち出されました。

企業

事例1.ソフトバンク

最新の事例では、ソフトバンクグループが2022年4月6日から社用メールアカウントでパスワード付きZipファイルとパスワードを同じ経路で送信する方法、いわゆる「PPAP」を廃止しています。なお同日午後3時以降は、メールの本文のみを受信し、添付ファイルについてはフィルタリングの際に自動で削除し、受信できないようにしたことでセキュリティ強化を図っています。

事例2.日立

ITベンダーである日立製作所では、「PPAP」を禁止する方針を打ち出し2021年12月13日以降、電子メールへの暗号化ファイル添付を禁止しています。
また子会社の日立ソリューションズが提供する「秘文」シリーズである添付ファイルの自動暗号化ツールに関しては、2017年にすでに販売終了していることから、PPAPへの対策を早々に進めていたことがわかります。

PPAPが禁止される理由

PPAPの利用禁止は、政府や企業に広く浸透していますが、どのような理由からPPAPが禁止されているのでしょうか。その理由についてみていきましょう。

メールの誤送信による情報漏えいリスクが高まる

従来、PPAPは暗号化されたパスワード付きのファイルを無関係な第三者へ誤送信したとしても、2通目にパスワードが記載されたメールを送信しなければ、暗号化されたファイルの復号ができないため誤送信対策になると考えられていました。
しかしながら、この方法はメールを送った直後に、都度宛先を確認する場合のみ有効であり、現実的にはメールを送った直後誤送信したことに気づくケースは少ないものです。そうした場合、無関係な第三者に情報を渡してしまい、情報漏えいにつながる可能性が高まります。そのため、PPAPは誤送信対策としては有効な方法ではなく、第三者に情報を渡してしまうリスクも考えられることから、PPAPを禁止する動きになりました。

近年発生した情報漏えいの事例や、情報漏洩を防止する方法について知りたい方は、以下の記事をご覧ください。
≫個人情報漏洩を防ぐ6つの対策とは?被害事例や流出原因なども解説

盗聴される危険性がある

PPAPは、ネットワーク盗聴される可能性が高いことも利用を禁止される理由の一つです。

PPAPを利用した場合、暗号化ファイルを添付したメールと、そのパスワードが記載されたメールは同じ通信経路を通ることになります。そのため、攻撃者に1通目のファイルが盗まれた場合、自ずと2通目のパスワードが記載されたメールも盗まれてしまう可能性が高まります。
したがって、PPAPによりファイルが暗号化されていたとしても、Zipファイルとパスワードの両方を盗まれる危険性があり、万全な情報漏えい対策とは言えないことからPPAPの利用が禁止されることになりました。

マルウェア感染拡大の原因となる

近年、マルウェアの一種である「Emotet(以下、エモテット)」による被害が世界中で広まっています。エモテットとは、メールを用いてマルウェアが仕込まれた添付ファイルを送信し、受信側が開封することでウイルス感染させる手法です。
もしPCにセキュリティ対策ソフトが入っていれば、自動的にマルウェアをブロックすることはできますが、PPAPで添付ファイルが暗号化されている状態では、ファイル内のマルウェアを検知できないことがあります。

このように近年猛威を振るうマルウェアの感染対策を行う上で、PPAPはリスクが高い手法であることから廃止の動きが進んでいます。

マルウェアの一種「エモテット」について詳しく知りたい方は、以下の記事をご覧ください。
≫Emotet(エモテット)とは?攻撃手法や対策について解説

手間がかかるため非効率

PPAPの手法では、添付ファイルを送信する際に、メールの送信者側と受信者側に手間が発生します。とくにファイルを受け取った受信者側は、1通目にファイルを受信し、2通目のメールでパスワードを受け取り、そこに記載されたパスワードの入力とZipファイルの解凍など手間がかかり、業務効率化の観点から見ても非効率と言えます。

もし受信者側にパスワードが記載されたメールが送られて来なかった場合は、パスワードメールの到着を待ち続けなければならず、その間の作業は止まってしまうでしょう。
このように、PPAPは送信者・受信者ともに負担が大きく、業務効率を下げるといったこともPPAPの利用禁止につながった理由の一つです。

PPAPの代替案

PPAPの利用を禁止する動きが広まっている中、企業ではそれに変わる代替手段としてどのようなファイル共有方法を導入しているのか気になる方も多いでしょう。ここでは、PPAPの代替案としておススメの方法をご紹介します。

クラウドストレージの活用

PPAPを廃止するにあたり、それに変わるファイル共有方法として、多くの企業が取り入れているのが「クラウドストレージ」です。
クラウドストレージは、メールでは送信できないような大容量ファイルを格納できる上、標準として通信データや保存ファイルの暗号化やウイルスチェック、ユーザー認証にも対応しているため、PPAPよりも安全にファイルを共有できる点が大きな特徴です。

クラウドストレージなら『Xserverドライブ』

法人向けのクラウドストレージサービスとして、おススメなのが『Xserverドライブ』。Webホスティング国内シェアNo.1のエックスサーバー株式会社が提供しています。

『Xserverドライブ』は、ユーザー数無制限で何人で使っても月額2,970円(税込)とコストパフォーマンスの高さが大きな魅力!また完全無料で利用できるフリープランもあるため、機能、操作性を試したい方はフリープランから使ってみるのもおススメです!

▼法人向けクラウドストレージ【Xserver Drive】公式サイトはこちら▼ 

まとめ

今回は、PPAPが禁止される理由や、PPAPに対する政府や企業の動き、その問題点などについて解説しました。PPAPの禁止が広まる中、これまで利用してきた企業では、なかなか廃止できないところも少なくないでしょう。しかしそれにより、情報漏えいにつながっては取り返しがつきません。クラウドストレージなどの代替手段を早い段階で導入し、業務のインフラ整備を進めていきましょう。