2023-08-15 09:00:45

PPAPは危険？代替案は？セキュリティリスクや脱PPAPの背景を徹底解説

PPAPとは、Zipファイルつきメールを保護するセキュリティ対策のことです。
古典的なファイル転送手法ですが、そのセキュリティリスクから「脱PPAP」を掲げる企業が増えました。
今回は、PPAPの概要やセキュリティリスク、企業における脱PPAPの動きや代替案について徹底解説します。

PPAPの基礎知識

ここでは、PPAPの基礎知識をご紹介します。
どのような仕組みなのか、なぜ脱PPAPの動きが進んでいるのか、さまざまな視点から解説します。

PPAPとは？

PPAPはメールの添付ファイルを保護するためのセキュリティ対策手法のひとつで、パスワードつきのZipファイルをメールで送ることを指します。
以下の頭文字を取り、PPAPと呼ばれています。

P：パスワードつきのZipファイルを送る
P：パスワードを送る
A：暗号化する
P：プロトコル（データ通信を行うために定めた規約）

当該手法は盗聴による情報漏えいや、誤送信リスクを軽減するために用いられてきましたが、近年はセキュリティ上の問題点が指摘されており、大手企業を中心に「脱PPAP」の動きが加速しています。

そもそも、どのようなセキュリティリスクが存在するのでしょうか。
たとえば、パスワードつきのZipファイルが添付されたメールが流出した場合、悪意ある第三者によって解凍されるおそれがあります。
パスワードを添付する場合も珍しくなく、その脆弱さが指摘されているのです。

また、PPAPは「セキュリティになっているはず」という安心感を提供する「劇場型セキュリティ」の一種とされます。
そもそもセキュリティ効果が限定的であり、手間がかかるだけで、ほとんど意味がないとされます。
そんなPPAPの代替として、クラウド・ストレージサービスサービスや大容量ファイルサービス、S/MIMEを使ったメールの暗号化などの利用が挙げられます。

PPAPのセキュリティリスクを正しく理解すること、社内全体のITリテラシーやセキュリティ意識を高めることで、安全なファイルのやりとりが可能になるでしょう。

PPAPのセキュリティリスクとは？

PPAPはもともと、ファイル送信時におけるセキュリティリスクを軽減するとともに、盗聴防止や誤送信対策になるとされてきました。
しかし、実際には深刻なレベルのセキュリティリスクが存在します。
ここでは、PPAPが抱えるセキュリティリスクについて、3つのポイントから解説します。

Zip形式の暗号強度が脆弱

Zip形式の暗号強度が弱いとされる理由は、旧式の暗号化技術である「Zip 2.0 (Legacy) 暗号化」が使用されているためです。

Zip 2.0暗号化はオーソドックスな反面、脆弱性が認められており、強力なデータセキュリティは提供できないと評されています。
現代においては、より強力な「AES（Advanced Encryption Standard）暗号化技術」がZipファイルの暗号化に多用されています。

マルウェア感染リスク

一部のPCでは、暗号化されたファイルに対し、ウイルス対策ソフトが検査・検出をおこなうことが難しい場合があります。

結果、マルウェアがファイル内に仕込まれていたとしても気づくことなく、そのまま感染してしまう可能性があるのです。

また、PPAPではパスワードつきのZipファイルをメールで送信するため、マルウェアに感染しているファイルがウイルスチェックをすり抜けるおそれがあります。
さらにメールアカウントが乗っ取られた場合、取引先や顧客、同僚や上司・部下、最悪のケースでは家族にまでマルウェアを感染させてしまう可能性があり、非常に危険です。

メールの盗聴リスク

PPAPは、添付ファイルとパスワードを別々のメールで送るのが一般的です。
つまり、メールさえ確認できれば、添付ファイルとパスワードの両方が手に入るため、第三者に盗み見られたり、悪用されたりするおそれがあります。

国内企業に見られる脱PPAPの動き

脱PPAPは、PPAPというファイル送信方法を廃止するという趣旨の流れを指します。
上記の通り、近年は大手企業を中心とした脱PPAPの動きが進んでいます。

たとえば、「日立製作所」は2021年10月8日に、日立グループ内でのPPAP全面廃止を発表しました。
さらに、クラウド会計ソフトを提供する「freee」は、2020年12月1日からメールによるパスワード付きファイルの受信を正式に廃止しています。

一方、ケースバイケースでPPAPの使用を認める企業も少なくありません。
「NTTグループ」は2021年7月に社内規定を改定し、PPAPの使用を基本的には廃止していますが、状況により使用を認めるとのことです。
「伊藤忠テクノソリューションズ(CTC)」もPPAPを原則廃止していますが、顧客とのやりとりで必要な場合は使用するという方針を採用しています。

ここで重要なのが、脱PPAPを単なるセキュリティ対策と捉えないことです。
セキュリティリスクが存在するのは確かな一方で、手軽にファイルの送受信ができたり、取引先が指定してきたために避けられなかったりします。

全面禁止も正しい判断ですが、後述した2社のように、状況に応じて使いわけるのも手でしょう。

PPAPについて日本政府はどう考えている？

日本政府は2020年11月、中央省庁におけるPPAPの廃止を決めました

その決定は、セキュリティ対策や受け取る側の利便性から鑑みて、PPAPが適切でないと判断されたからです。
また、内閣府と内閣官房では、2020年11月26日にPPAPの利用が廃止されました。
政府の発表以後、多くの企業がPPAPの廃止を明言しています。

PPAPが進まないとどうなる？企業が受ける影響は？

今後もPPAPを継続的に利用した場合、企業はセキュリティリスクや業務効率低下などの問題に直面するでしょう。
たとえば、パスワードが別のメールで送信されるため、第三者によるパスワードの盗み見や、パスワードを伝える別経路そのものが、セキュリティ上の弱点となる可能性があります。
また、PPAP自体が非効率であり、パスワードの送受信に手間がかかることから、業務の遅延やミスが生じるリスクがあります。

これらの問題点を踏まえて、企業はPPAPからの脱却を進めるべきです。
さらに、政府機関や大企業がPPAPの廃止を進めているため、対応しない企業は競合他社との差別化が図れず、ビジネス上のデメリットが生じる可能性があります。

「うちは大丈夫」が狙われている！？

PPAPの代替案とは？4つの方法を解説

ここでは、PPAPの代替案となる4つの方法を解説します。
いずれもファイル転送を安全に行える方法であり、ビジネスシーンにおいても活用されています。
PPAPの代替案を検討している担当者は、ぜひ確認してみてください。

クラウド・ストレージサービスの活用

「Google」が提供する「Gdrive」などのクラウド・ストレージサービスは、PPAPに比べていくつかのメリットがあります。

まず、クラウド・ストレージサービスではファイルを保存した場所のURLを相手に伝えることでファイルの送受信が可能になるため、ネットワークが盗聴されるリスクが低減されます。

さらに、クラウド・ストレージサービスではストレージへファイルを保存する際の通信に暗号化通信が利用されています。
ファイルの盗難リスク低減につながるでしょう。
クラウド・ストレージの中には、データが国内のデータセンターで保存され、フォルダごとに詳細・柔軟な権限設定が可能な法人向けのサービスが存在します。