富士フイルム

富士フイルムの
コンテンツ活用塾for business

PPAPとは?
問題点や廃止における動きと代替案を解説

PPAPとは?問題点や廃止における動きと代替案を解説

PPAPとは、メールでファイルを送る際に使用されるセキュリティ対策です。
Zipファイルを添付したメールと、そのファイルを開くためのパスワードを記載したメールをそれぞれ送信する方法で、かつては多くの企業で使用されていましたが、最近では、かえってセキュリティリスクを高めるといわれ、廃止の動きが広がっています。
本記事ではPPAPの問題点や「脱PPAP」を実現する方法について解説します。

目次

  1. PPAPとは
  2. PPAPの問題・廃止される理由
  3. PPAP廃止における動き
  4. 脱PPAPとなる代替案・対策
  5. PPAPに代わる対策なら「SECURE DELIVER」がおすすめ
  6. まとめ

PPAPとは

PPAPとは、メールでファイルを送る際に使用されるセキュリティ対策です。Zipファイルを添付したメールと、そのファイルを開くためのパスワードを記載したメールをそれぞれ別々に送信する方法です。仮にZipファイルを添付したメールが流出しても、パスワードが分からなければ安全性は保たれるという理由から多くの企業で使用されていました。PPAPという名称は以下の単語の頭文字からできた造語と言われています。

P:Password付きのZipファイルを送る

P:Passwordを送る

A:Angouka(暗号化)

P:Protocol(プロトコル)

PPAPが広まった背景は誤解によるもの

総務省の「地方公共団体における情報セキュリティポリシーに関するガイドライン※1」では、送受信する情報は必要に応じてパスワード等による「暗号化」をすることが定められ、そのパスワードは「メール以外の方法」で伝達することが望ましいと明記されています。しかし、いつしかこの部分が抜け落ちてしまい、「パスワードを別メールで連絡すればよい」という誤ったルールで運用する企業や組織が増えたため、PPAPが広まったと考えられています。

なお、同ガイドラインをはじめ、政府や公的機関がPPAPを推奨してきたことはありません。また個人情報に関する適切な保護措置を行っている事業者を評価する「プライバシーマーク(Pマーク)」の認証団体であるJIPDECも、公式ウェブサイトで、この方法を従来から推奨していない旨を明記しています。※2

※1 出典:JIPDECウェブサイト「メール添付のファイル送信について」(最終閲覧日2024年8月22日)
※2 2024年9月末時点の最新版は2022年3月発表のもの。

PPAPの問題・廃止される理由

従来は主要なセキュリティ対策として使用されていたPPAPですが、近年の問題点や廃止される理由を5つに分けて解説します。

メールの盗聴問題

PPAPでは、パスワードがメールの盗み見などによって簡単に漏えいする可能性があります。また、ネットワークそのものが傍受されてしまえば、ファイルとパスワードを別にしても両方のメールが流出してしまうため、セキュリティ対策として機能しません。たとえ暗号化されたZipファイルでも、パスワードが盗聴されてしまえば容易に解読されてしまうことになります。

ウイルスチェックを回避してしまう問題

PPAPは、社内にウイルスの侵入を許してしまう可能性があります。PPAPではファイルをZipに圧縮したうえでパスワードをかけて暗号化して送信しますが、パスワードがかけられているファイルの中身は、セキュリティソフトによるウイルスチェックができません。そのためZipファイルにマルウエアが紛れ込んでいれば、チェックをすり抜けてパソコン等から感染させられることが可能です。

実際に、PPAPのパスワード付きZipファイルなどを悪用して、「Emotet」と呼ばれるマルウエアが大流行しました。Emotetは、知っている相手になりすましたメールを送り、受信者が添付ファイルを開いたり、文章内のURLをクリックしたりすることで感染させるものです。メール内の情報やアカウント情報、ブラウザに登録したパスワードやクレジットカード情報などを盗むだけでなく、ほかのマルウエアに感染させ、さらなる情報抜き取りやランサムウエアによる身代金要求などの被害を拡大させることもあります。Emotetは2019年や2022年などに特に活発な攻撃があり、その後も休止と再開を繰り返しているため、動向を注視する必要があります。なお、Emotetは中小企業にも多くの攻撃がなされて被害報告が出ており、大企業に限らず全ての組織にとっての脅威といえます。

業務効率の問題

PPAPは、送信者・受信者の両方に手間がかかります。送信側はZipファイルにパスワードを設定した上で2通のメールを作成しなければならず、受信側もメールを2通確認してパスワードを打ち込まなければなりません。また、パスワードの管理と保全のために手間もかかるほか、受信側がスマートフォンやタブレットの場合、OSのバージョンや機種によりZipファイルを開くのに専用アプリが必要になることもありえます。企業でDXが進む現在、PPAPは業務効率を低下させるものとなっています。

ヒューマンエラーの問題

PPAPはパスワード付きZipファイルと解凍パスワードを2通のメールに分けて送ることでセキュリティリスクを軽減させる考え方ですが、ヒューマンエラーによりメールの送信先を間違えてしまうと簡単に情報漏えいにつながってしまいます。PPAPは、万一メールを誤送信してもファイルが流出しない点がメリットとされていますが、それには、すぐに誤送信したことに気付いて2通目を送らないように対応する必要があります。しかし、1通目に宛先を間違えた場合は2通目も宛先を間違えたままであることが多く、セキュリティ対策として効果があるのか疑問が残ります。

PPAP廃止における動き

このようにPPAPにはさまざまなセキュリティリスクや非効率性が明らかになってきたため、政府、企業ともに廃止の動きが広がっています。

政府の発表

2020年11月にデジタル改革担当大臣が「内閣府・内閣官房におけるメールでパスワード付きZipファイルを送り、パスワードを別送するPPAPによる仕組みを廃止」し、ファイル共有にはクラウドストレージを活用すると発表。また、文部科学省でも2021年に、ファイル共有の手段をクラウドストレージに移行するとしました。

企業の主な対応

政府の発表をきっかけに、民間企業でもPPAP廃止の流れは進んでいます。大手企業を中心に、パスワード付きZipファイルが添付されたメールを受信した場合、添付ファイルを自動で削除するなど、受信自体を拒否する仕組みを導入する動きもあるようです。
一方で、PPAPをいまだに使い続けている企業が多く存在することも事実です。これは、PPAPを使い続けるリスクが正しく理解されていないためとみられます。PPAPを使い続けることで実際のセキュリティ上の問題が企業の規模を問わず生じるのはもちろんのこと、お客さまや取引先からセキュリティ意識を問われることにもつながってしまいます。政府やITベンダーによる啓蒙が進んでおり、今後企業のPPAP廃止は加速していくことでしょう。

脱PPAPとなる代替案・対策

では、脱PPAPが加速するなか、PPAPに代わる手法としてどのようなものがあるのかを見ていきます。

ファイル転送(ファイル送受信)サービス

ファイル転送(ファイル送受信)サービスとは、インターネット上のクラウド環境に送信側が送ったデータファイルを、受信側に転送(送信)するサービスです。メールに添付するのには大きすぎる動画や画像などのファイルや、機密性の高いファイルを安全に送ることができます。クラウド環境のため導入が簡単で、インターネットへの接続環境さえあれば、場所やデバイスを問わずどこからでも活用が可能です。サービスの仕組みは、送信側がWebブラウザからサービスサイトにアクセスし、ファイルをアップロードした後で、その格納場所のURLを受信側に伝え、受信側がそのURLにアクセスしてダウンロードするというのが一般的です。

多くのファイル転送サービスは、その都度の一時的なファイルのやりとりを想定しているため、ファイルの保管期間を設定することができます。ファイルの外部漏えいのリスクを低減する機能として有用であると言えるでしょう。
ファイル転送のサービスにより、利用できるID数やセキュリティレベル、機能が異なります。誤送信対策として、ファイル送信時の第三者による承認機能を有しているサービスもあります。事前によく調べた上で比較し、自社の目的や用途に合ったものを検討する必要があります。

クラウドストレージサービス

ファイル転送サービスと同様に、インターネットへの接続環境があれば、さまざまなデバイスから大容量ファイルを送受信できるクラウドストレージを利用するのも一つです。クラウドストレージは、ファイル送信側と受信側が一つのクラウド環境を使い、ファイルを保管や共有することができます。
相手ごとや案件ごとにフォルダを作ってファイルを整理して保管したり、フォルダやファイルにアクセスできるメンバーを設定したりできるものが一般的です。サービスによって、設定の自由度やファイル容量、セキュリティレベルは異なります。

メールセキュリティシステム

メールセキュリティシステムとは、メール送受信時に起きる可能性がある情報漏えいや不正アクセスを防止するためのシステムです。メール誤送信防止対策として、メール送信時の第三者による承認機能や送信保留機能、危険性の高いメールを検知して振り分けるフィルタリング機能や、このようなメールを無害化する機能などを持つのが特徴です。
メールセキュリティシステムは主に「クラウド型」「ゲートウェイ型」「エンドポイント型」の3つに分類されますが、中でも近年ではインターネット上でソフトが作動しセキュリティ対策ができる「クラウド型メールセキュリティシステム」が、初期コストが安価で導入が容易なことから利用する企業が増えているようです。

ビジネスチャットツール

最近では、メール以外のファイル送信手段としてビジネス用途に特化したビジネスチャットツールが活用されています。ビジネスチャットツールは、タイムリーな相互連絡はもちろん、ファイル共有機能も備えています。アクセスできるメンバーがあらかじめ決まっているため、メールよりも誤送信のリスクが低いことから活用する企業が増えています。一方、コミュニケーションを目的としたツールのため、容量制限がある点や、同じツールを導入していない相手とはファイルを送受信できないといった点がデメリットになります。

PPAPに代わる対策なら「SECURE DELIVER」がおすすめ

PPAPからの脱却を目指すのなら、導入が簡単でスピーディーに運用を開始できる富士フイルムのクラウド型ファイル送受信サービス「SECURE DELIVER」がおすすめです。「SECURE DELIVER」は一度の送信で合計100GB(10ファイルまで)の大容量のファイル送受信が可能。誤送信を防止する送信時の第三者による承認機能や、ファイルの暗号化、一定期間でのファイル削除機能、操作ログ取得など堅牢なセキュリティ対策を施していながら、誰でも使える直感的な操作性が好評で、どなたでも安心してお使いいただけます。
さらに、ID数による追加費用が不要で(10,000ID付属)、料金設定は送信通数を軸にしたプラン選択型のため、規模に合わせた運用ができる点でもおすすめです。

まとめ

PPAP使用継続のリスクを考慮すると、できるだけ早くこれを廃止し、代替となるセキュアなファイル送受信対策を導入することが望まれます。「SECURE DELIVER」なら、手軽に導入でき、堅牢なセキュリティ対策と利便性の高いファイル送受信環境が両立できます。無料体験版で使い勝手を実際に試すこともできますので、この機会にぜひご検討ください。

関連記事