PPAPとは?危険性と問題点・今後の代替案4つも紹介
メールでのファイルのやりとりは、日常業務に欠かせません。その際、多くの企業や組織で活用されてきたのが、 パスワード付きzipファイルによる添付ファイルの送信、通称「PPAP」 です。
しかし、昨今、政府機関や大手企業を中心に、次々とPPAPの廃止が決定されています。
その理由とは一体何なのでしょうか? PPAPには思わぬ落とし穴が潜んでいるのです。
本記事では、PPAPの危険性と問題点を解説するとともに、より安全で効率的なファイル送信の方法を探ります。安全で効率的なファイル送信を実現できる最適解を見つけてみてください。
PPAPとは
PPAPとはどういったもので、どういった目的で使われているのか、あらためて確認しておきましょう。
PPAPとはメールでファイルを安全に送るための方法
PPAPは、下記の頭文字をとった略称で、ファイルを安全に送信するためのセキュリティ対策のひとつです。
- P:パスワード付きのzipファイルを送る
- P:パスワードを別のメールで送る
- A:暗号化する
- P:プロトコル
パスワード付きzip圧縮によってファイルを送信し、そのあとにパスワードを受信者に教えます。多くの場合は別便のメールでパスワードを伝えます。
PPAPが広まった背景
インターネットの普及により、メールは手軽にファイルを送受信できる手段として定着しました。一方で、メールの盗聴やファイルの漏えいといったセキュリティリスクも懸念されるようになりました。そこで、パスワードを付けてファイルを保護するPPAPが推奨され、多くの企業や個人に採用されてきたのです。
PPAPの危険性と問題点
従来は、多くの企業や自治体で活用されていたPPAPですが、現在ではその危険性も問題視されています。
PPAPの危険性と問題点は、大きく分けて以下の2つです。
- メールを盗聴される可能性がある
- 業務効率が低下する
こういった危険性が発生する理由や問題点について、詳しく見ていきましょう。
メールを盗聴される可能性がある
PPAPには、次のような特徴があるため、メールを盗聴されてしまう可能性があります。
特徴1.メールが暗号化されない
メールは基本的に暗号化されていないため、通信経路上で傍受される危険性があります。PPAPで送信したファイルとパスワードが同時に盗聴されれば、簡単にファイルが解読されてしまいます。
特徴2.zipファイルの暗号化は簡単に解読できてしまう
PPAPで使われるzipファイルの暗号化は、強度が十分とは言えません。専用のソフトウェアを使えば、比較的容易に解読できてしまうのです。
特に問題なのが、パスワードの強度です。「123456」や「password」といった単純なパスワード、あるいは企業名や部署名など推測可能なパスワードが使われていれば、ブルートフォース攻撃(総当たり攻撃)で突破されてしまう恐れがあります。
特徴3.パスワードの入力回数に制限がない
パスワード付きzipファイルは、パスワードの入力回数に制限がありません。クレジットカードや銀行口座のパスワードであれば、数回間違えるとロックがかかり、それ以上操作ができないよう設定されていることがほとんどです。ところが、PPAPのパスワードは、何度間違えて入力しても繰り返し組み合わせを探し当てるまで入力できます。
つまり、パスワードを読み解く特別な技術がなくても、無数にある数字と英数字の組み合わせを試していけばパスワードを見つけられるのです。
特徴4.ウイルスチェックが難しい
PPAPのもうひとつの大きな問題が、ウイルスチェックの難しさです。パスワード付きzipファイルは、ウイルス対策ソフトによる自動スキャンが働きにくいのです。
特徴5.複雑化・高度化したサイバー攻撃に対応できない
日々進化するサイバー攻撃の手口に、PPAPのような単純な暗号化では太刀打ちできません。巧妙化するフィッシング詐欺により、パスワード付きzipファイルを装ったマルウェアが送り込まれるケースも増えています。PPAPは、こうした高度な攻撃への耐性が乏しいのです。
業務効率が低下する
メール盗聴のリスクに加えて、業務効率が低下する恐れもあります。
効率性を下げる要因として、PPAPの以下の2つの特徴が挙げられます。
特徴1.限られたデバイスでしか対応できない
PPAPで送られたファイルを開くには、パソコンが必要です。スマートフォンやタブレットでは、パスワード付きzipファイルを開くことが難しく、業務の効率が下がってしまいます。
特徴2.パスワードを別送する手間がかかる
PPAPでは、ファイルとパスワードを別々のメールで送信する必要があります。
送信者、受信者ともに二度手間となり、業務効率を低下させる要因となります。
政府・企業によるPPAP廃止の動き
政府や企業では、PPAPのリスクを認識し、その利用を禁止する動きが広がっています。
政府は、2020年11月に外部へのファイル送信時に活用していたPPAP方式を廃止すると発表しました。セキュリティ対策として不十分だったことが、廃止の大きな理由としています。
また、こういった政府の動きをうけて、大手企業をはじめとしたさまざまな企業がPPAPの完全廃止を宣言しました。
PPAPの代替案4つ
PPAPに代わる安全なファイル送信方法には、以下のようなものがあります。
- 1.ファイル転送サービス
- 2.チャットツール
- 3.S/MIME
- 4.クラウドストレージ
ひとつずつ特徴を解説します。
1.ファイル転送サービス
専用のファイル転送サービスを導入するのも一案です。機密ファイルの送受信に特化したサービスで、高度なセキュリティ機能を備えています。
代表例としては、ギガファイル便やfirestorageなどが挙げられます。
利用方法としては、まず、ファイルを上記のようなプラットフォームにアップロードします。アップロードが完了するとURLが発行されるため、そのURLを送付先へ共有すれば、受取側はファイルを閲覧できます。
無料で使用できるサービスも多く存在していますが、ウイルス対策がされていない場合やダウンロード回数の制限が設けられている場合もあるため、有料プランもあわせて検討してみるとよいでしょう。
2.チャットツール
ビジネスチャットツールも、ファイル送信の有力な選択肢です。
代表的なチャットツールとしては、以下があります。
- Microsoft Teams
- Slack
- Chatwork
チャットのやりとりのなかで手軽にファイルを添付でき、リアルタイムでのコミュニケーションが可能です。効率的にファイルを共有できます。
ツールを選ぶ際は、 「コスト」「セキュリティ」 の面を必ず確認しましょう。また、既存ツールと連携できるかどうかも確認しておくことで、スムーズに業務に取り入れやすくなります。
3.S/MIME(Secure / Multipurpose Internet Mail Extensions)
メールそのものを暗号化し、改ざんを防止する技術にS/MIMEがあります。S/MIMEとは「Secure/Multipurpose Internet Mail Extensions」の略で、電子メールのセキュリティを向上させるための標準規格です。
S/MIMEの主な機能は以下の2つです。
- 暗号化:メールの内容を暗号化し、第三者に読まれることを防ぐ
- 電子署名:送信者の秘密鍵で電子署名を行うことで、メールの送信元が真正であることを証明
PPAPのようにパスワードの設定も不要なため、利便性に優れています。
ただし、S/MIMEを使うには送信者と受信者の双方が対応している必要があるため、利用開始のハードルは比較的高めと言えるでしょう。
4.クラウドストレージ
PPAPの代替案として 最もおすすめなのが「クラウドストレージ」 の利用です。
Box やGoogle Drive、Dropbox、OneDriveといったクラウドストレージにファイルをアップロードし、受信者と共有する方法です。
利用者に対して適切なアクセス権限を設定することで、安全にファイル共有ができます。ブラウザやアプリから、場所を問わずファイルにアクセスできるのも魅力です。
総務省による「令和3年 情報通信白書」内の 「(4)企業におけるクラウドサービスの利用動向」 においても、2020年時点で クラウドサービスを利用している企業の割合は約7割となっており、年々増加傾向 にあります。また同調査によれば、 利用されたクラウドサービスの内容は「ファイル保管・データ共有」(59.4%)の割合が高く、続いて「電子メール」(50.3%) となっています。
ファイル保管やデータ共有の方法として、クラウドサービスの利用はかなり浸透してきているのが実情です。今後もクラウドサービスへ切り替える企業が増えていくのではないでしょうか。
NTTデータ関西でも、脱PPAPを実現した Box連携アドインツール「bAudit/ビーオーディット」 を提供しています。既存のファイル添付によるメール送信オペレーションは変更しないため、セキュリティ面だけでなく業務効率面でも安心して導入いただけます。
▼bAudit/ビーオーディットの詳細について
また、PPAPの代替案については以下の記事でも詳しく紹介しています。クラウド型ストレージとファイル転送サービスの違いについても解説しています。
脱PPAP後、資料・データの共有はどうする? ー安全と利便性を担保できる方法を探るー
まとめ:脱PPAPで安全なファイル送信方法へ移行
PPAPは多くの企業で採用されてきたファイル送信方法ですが、その危険性は看過できません。メールの盗聴リスク、zip暗号化のぜい弱など、情報漏えいの危険が常につきまといます。加えて、業務効率の低下という点でも、PPAPは現代のビジネスには適しているとは言えないでしょう。
自社の情報資産を守るため、また業務のDXを推進するためにも、セキュアなファイル送信方法への移行が不可欠です。
PPAPに頼った従来のやり方から脱却し、時代に合ったファイル共有の仕組みを取り入れましょう。