PPAPはなぜ問題視されるのか。原因と代替案について

多くの企業や個人、政府機関では日々、情報の送受信を行っています。メールでのやり取りも多く、つねに情報漏洩などのリスクが懸念されます。そうした状況のなか、PPAPという手法が多く活用されるようになりました。ところが、昨今、このPPAPは政府機関をはじめ、多くの企業が廃止を決定しています。それはなぜなのでしょうか。今回はPPAPとはどういった手法なのかを確認し、問題視され、廃止されるにいたった原因を解説します。また、PPAPの代替案についても紹介します。

PPAPとは

PPAPとはどういったもので、どういった目的で使われているのか、改めて確認しておきましょう。

PPAPはメールでファイルを安全に送るための方法

PPAPはメールでファイルを安全に送信するためのセキュリティ対策のひとつです。パスワード付きZip圧縮によってファイルを送信し、そのあとにパスワードを受信者に教えます。多くの場合は別便のメールでパスワードを伝えます。

PPAPは、情報をメールで送受信する際に、情報漏洩が問題視されるようになり、その対策として考案されました。

PPAPが普及したのはなぜ？

今や多くの企業、個人、政府機関がPPAPを活用したセキュリティ対策に懐疑的ですが、そのPPAPが普及したのはなぜなのでしょうか。PPAPの普及した理由を探ってみると、セキュリティ強化の必要性は認識していても、導入・使用にいたるまでに、いくつかのポイントがある現実が見えてきます。

「地方公共団体における情報セキュリティに関するガイドライン」（総務省）に示された情報資産の管理に関する表記

総務省は情報セキュリティポリシーガイドラインを2001年に策定し、その内容を何度か改訂しています。そのガイドラインのなかの「情報資産の分類と管理方法」の項目で、「電子メール等により機密性2つ以上の情報を送信する者は、必要に応じ、暗号化又はパスワード設定を行わなければならない」と示しています。

この奨励された方法は、 Zipという形式でファイルを圧縮する暗号化機能を利用することと、閲覧に際してはパスワードを要するというPPAP利用を促すことにつながったと考えられます。

作業がいたって簡単

ただ、総務省が情報セキュリティに関するガイドラインのなかで、「電子メール等により機密性2つ以上の情報を送信する者は、必要に応じ、暗号化又はパスワード設定を行わなければならない」と明記したからといって、PPAPをだれもが使うようになったとは考えられません。PPAPがここまで広く利用されるようになったのは、その手順がわかりやすくて、だれもが簡単に行えるものだったからでしょう。

PPAPは送信したいファイルをZipファイルとして圧縮し、その圧縮ファイルのパスワードを設定しておけばよいだけです。あとはメールに添付すれば受信者にパスワード付きの暗号化されたファイルが届きます。

つまり、 ファイルを送信するときのセキュリティは強化したいけれど、そのための作業が難しいものであっては対応できない、 という現実があったと想像できます。いいかえれば、 PPAPは作業自体がとても簡単であったことで、多くの企業や政府機関で活用されるようになった のでしょう。

PPAPの問題点

操作が簡単で使いやすいとされたPPAPが、多くの企業や政府関係機関で廃止されるほどに問題視されているのはなぜでしょう。その原因を２つの視点から確認しておきましょう。

PPAPはセキュリティの脆弱性が問題

暗号強度が高くない

前述のとおり、PPAPはZipファイルにパスワードを付けたものをメールで相手に送信することでセキュリティを確保する、としています

そのZipファイルに使用されている暗号は、Zip CryptoとAES-256の2種類あります。AES-256 は、パスワードを使って開示しないとファイルが開けないほどの強度がありますが、使用できるOSが限られており、広く一般的に利用されているものではありません。

一方の Zip Cryptoは幅広くＯＳで採用されているので、多くの企業や自治体、個人が使用しているパソコンで簡単に圧縮ファイルを作成することが可能です。ところがZip Cryptoの強度はそれほど高いものではありません。 そのため暗号を突破される可能性もあります。

パスワードの入力回数に制限がない

パスワードを同じネットワークを利用して受信者に送ること自体がセキュリティ意識として問題がある行為になりますが、それ以前に、PPAPのパスワードを解ける可能性が高い点が問題なのです。パスワードは複数の数字や欧文文字の組み合わせでできています。こうしたパスワードはPPAP以外にもクレジットカードや銀行口座などの自分の登録アカウントへのログイン時に使われているものと似ています。しかし、パスワードの文字の組み合わせを探ろうとしても、数回間違えるとロックがかかり、それ以上操作ができないように設定されていることがほとんどです。ところが、PPAPのパスワードは、何度間違えて入力しても繰り返し組み合わせを探し当てるまで入力することが可能なのです。つまり、パスワードを読み解く特別な技術がなくても、無数にある数字と欧文文字の組み合わせを試していけばパスワードを見つけることが可能なのです。

複雑化・高度化したサイバー攻撃に対応できない

情報セキュリティ対策は、日々強化されていくなか、サイバー攻撃も複雑化・高度化しています。そのため、送信したZipファイル自体が簡単に開示されてしまうケースもあります。また、Zipファイルを添付したなりすましメールを送信して、ウィルス感染を広げるケースも少なくありません。PPAPを利用している企業では、こうしたなりすましメールによる被害を防ぐためにも、PPAPの使用を問題視しています。

誤送信によるリスクが高い

PPAPは、1通目のメールにパスワード付きのZip圧縮をしたファイルを添付し、2通目のメールでそのパスワードを送ります。つまり2通目のメールも同じ経路で受信者に送られることになります。いいかえれば、別便でパスワードを送っているとはいえ、メールを盗み見られる状況であれば、パスワードを設定しても、送信を分けてもセキュリティ対策になっていません。

さらに、メールを送る時点で誤送信をすれば、圧縮したファイルもパスワードも第三者のところに送信されることになります。人的ミスによって情報漏洩が起こりやすいといえます。

PPAPは運用面の不便さが問題

PPAPはセキュリティの面からの問題だけではなく、運用しにくいといった問題点もいくつかあります。

限られたデバイスでしか対応できない

送信されたZipファイルがスマートフォンや一部のデバイスでは解凍できない場合があります。そうなると、外出先でファイルを受け取り、内容を確認したいときでも、スマートデバイス以外のZipファイルに対応しているデバイスを使用しなければなりません。

専用アプリケーションのインストールが必要になる場合がある

スマートフォンでZipファイルを開こうとする場合には、アプリケーションを使用するスマートフォンにインストールする必要があります。

送信者・受信者がひとつのファイルのために、二度メール対応しなければならない

PPAPは、送信者が最初にZipファイルをメールで添付して送り、2通目にパスワードを送信します。受信者側も最初にZipファイルを受け取りますが、すぐ2通目のパスワードを受け取れなかった場合には、メールボックスのなかから該当メールを探さなくてはなりません。こうした作業工数の多さとすぐに作業が進められない不便さがあります。

セキュリティ強度を高めるためのPPAP代替案

情報の共有はさまざまな場面で必要不可欠です。安全に情報をやり取りするために、今後講じておくべきセキュリティ対策を考えてみましょう。もちろんPPAPで活用しているように 暗号化した情報をメールで送った場合には、必ずメールとは別の方法で受信者にパスワードを知らせなければセキュリティ対策を講じたことにはなりません。 ここでは暗号化したデータとパスワードを別の方法で送ること以外に、社会の変化にも対応するセキュリティ強化方法を紹介しましょう。

クラウド型のストレージを利用する

多くの企業が、働き方改革に取り組み、時間や場所に縛られない自由度の高い就労環境を構築しようとしています。2020年からの新型コロナウイルス感染症拡大の影響もあり、テレワークやリモートワークを導入した企業も少なくありません。

そうした環境を構築するためのひとつのツールとしてクラウド型のストレージの利用が有効です。

さらに、 クラウド型ストレージとしての機能と同時に、メール添付の煩わしさと誤送信を防止する連携アドオンツールの活用をすれば、作業はより効率的に、安全に行えるようになります。

上記の例として、株式会社ＮＴＴデータ関西が2022年9月に販売を開始した、「bAudit（ビーオーディット）」は、クラウドストレージ「Box」とメールソフトを利用した添付ファイル送信の効率化かつ誤送信防止にも対応できる連携アドオンツールがあります。

こうした ツールを連携させてうまく活用することで、プロジェクトメンバー間のファイルの共有がスムーズにおこなえるほか、誤送信防止やセキュリティ対策にも効果的です。

https://www.bizxim.com/lp/b-audit.html

メール以外のコミュニケーションツールを活用する

テレワークが定着するなかでコミュニケーションツールとしてビジネスチャットツールを活用する企業が増えてきました。チャット機能、グループチャット作成機能、ファイル共有機能などが付いているものであれば、ファイルをメールで送ったけれど、受信者がメールを確認し、ファイル共有ができているのか不明なまま、という状況は防ぐことができます。

まとめ： セキュリティ強度の高い情報共有手段は多様な働き方を実現するためにも必須

企業活動を活発化させ、事業を拡大していくためには、さまざまな災害へのリスク管理が必要です。情報管理におけるセキュリティ対策もそのひとつです。今回、PPAPの脆弱さを切り口にこれからのセキュリティ対策のヒントとなる代替案を紹介しました。これらは 単にセキュリティ強化につながる施策というだけではなく、自由度の高い働き方を実現するために必要なもの でもあるのです。

労働人口が減少し、人材確保が難しくなる今後、労働者の働きやすい状況を構築することは企業の魅力、競争力アップの手段でもあります。つまり、 時間・場所に制限されない働き方を実現することは、多くの企業にとって事業継続のための課題 なのです。経営課題のひとつとしても、情報共有のためのセキュリティ対策について、自社の現状や今後の方法を見直してみる機会にしてください。