PPAP対策。問題点や代替案とその比較

PPAPとは？

PPAPとは、メールの添付ファイルを保護するためのセキュリティ対策手法の1つで、パスワード付きzipファイルをメールで送る行為を意味します。下記の頭文字を取ってPPAPと略称されています。

PPAPをイラストでわかりやすく解説すると、下記図のようになります。

つまり、パスワード付きzipファイルをメールで送付した後、そのパスワードを2通目のメールで送付した場合、万が一情報を誤った宛先に送付しても、パスワードの別送の際に誤りに気付けば第三者にファイルを見られることはありません。
しかし昨今、このPPAPでのファイル送信手法はセキュリティの問題があるとされ、禁止する動きが広がっています。

政府のPPAP廃止発表（2020年11月）、その後の企業の動き

2020年11月に新たに「デジタル改革担当大臣」が設定され、「内閣官房で従来のパスワード付きzipファイルを送る行為（PPAP）を廃止」する方針が発表されました。総務省が策定・公表している「テレワークセキュリティガイドライン」でも、パスワードもメールで送付する方式（いわゆるPPAP方式）のセキュリティ対策上デメリットが生じるという点について触れられています。
＜参考サイト : テレワークセキュリティ ガイドライン - 総務省（外部サイト）＞

政府がPPAP廃止を発表してからも、さまざまな企業や官公庁がPPAPからの脱却に取り組んでいますが、2022年6月に発表された研究報告「日本国内におけるメールセキュリティに関する実態把握」（外部サイト）によると、国内で従業員数が1000人以上の企業および公共団体344社のうち、64％にあたる219社が、PPAPを採用していると回答しており、PPAPを採用中の219社のうち42%にあたる93社はPPAP廃止を検討していると回答しました。

PPAPを使い続けている理由として、「セキュリティ対策変更のコスト・工数を考えるとシステム変更できないから（43社）」が多く、次いで「PPAPは運用のために社員が取るべき手順が明確であるから（38社）」となっています。

このように、まだまだセキュリティへの意識が低く、PPAPが使われているのが現状のようです。

PPAPの問題点

PPAPにはセキュリティ上の危険があると言われていますが、セキュリティ強化のためにパスワードを別送するPPAPがなぜ危険なのか、それぞれの問題について解説します。

zip暗号化によるウイルスチェックの問題

ウイルス対策ツールを導入していればメールのウイルスチェックを行いますが、パスワード付きのzipファイルの場合は、ファイルを開かないとウイルスチェックができません。そのため、ファイルにウイルスが混入していた場合、ウイルスチェックをすり抜け、ウイルスに感染する危険性があります。
ウイルス対策ツールの中には、パスワード付きのzipファイルもウイルスチェックを実施してくれるものもありますが、安全とは言い切れません。

誤送信の問題

PPAPで機密ファイルなどをパスワード付きzipファイルとして送付するとき、人間による操作ですので、必ず誤送信が発生します。暗号化ファイルをメールで送った後、解読用パスワードを連絡するメールを直後に送ります。同じ送信元・送信先でほぼ同じ時間に送られることが多いので、最初のメールを誤送信した場合、次に送るパスワードも誤送信する可能性が高いです。
誤送信によって機密情報の漏洩につながりかねません。PPAPが誤送信を防ぐことはできません。

パスワード解析の問題

パスワード付きzipファイルだから安心というわけではありません。たとえパスワードのメールが入手されなかったとしても、専用のツールと時間さえあればパスワードの解析は可能です。
zipファイルのパスワードは、パスワードを間違えても繰り返し入力できますので、専門的なスキルがなくても、時間をかければ正解のパスワードにたどりつく可能性があります。

メールの盗聴の問題

「1通目のメールで暗号化されたzipファイルを送り、2通目でパスワードを送る」という方法では、もし1通目のメールが盗聴された場合、次に送られるメールも盗聴される可能性が高いです。暗号化したファイルと複合するパスワードがセットで漏洩した場合、暗号化が解除されファイルが開かれて情報漏洩のリスクも高まります。

PPAPの代替案

では、PPAPが廃止された場合、どのような代替案・対応策があるのでしょうか？弊社で考えられる5つの代替案をご紹介します。

対策1「ファイル転送サービス」

ファイル転送サービスとは、大容量のデータを安全に送るためのシステムです。送信者から受信者にメールでダイレクトに送るのではなく、サーバーに一度アップロードしたものをダウンロードしてもらうことによってファイルを受け渡します。
例えば、ファイル転送サービス「オフィス宅ふぁいる便」を使ってPPAP対応を行う場合は、下記図のような流れでファイル送付が可能で、PPAPの代替策として活用可能です。

「オフィス宅ふぁいる便」は誤送信対策に強く、ファイルを送るまでに複数のチェック機能があります。誤送信のリスクが低く、重要なファイルを送るときに安全に送ることが可能です。

ファイル転送サービス「オフィス宅ふぁいる便」の具体的な特長、機能、料金については、「オフィス宅ふぁいる便のWEBサイト」をご確認いただくか、オフィス宅ふぁいる便の検討用資料をご確認ください。

対策2「ファイル共有サービス」

ファイル転送サービスと近しい仕組みに、ファイル共有サービスがあります。ファイル共有サービスとはファイルをサーバーに置いておき、そこにアクセスしてもらうことでファイルをシェアするシステムです。

ファイル共有サービスは、PPAPから見れば、ファイル転送サービスと同じ特性をもつため、PPAPの対応策の効果もファイル転送サービスと同じですが、ドラッグ&ドロップで共有されるように操作が簡単なゆえに誤共有が発生しやすく、また共有範囲の設定ミスやユーザー権限の設定ミス、共有リンクの送り間違いなど情報流出のリスクが多くあるので重要なファイルを扱う際は十分注意が必要です。

対策3「CDなどで宅配便・バイク便で送る」

これはその名の通り、送付したいファイルをCDなどに保管し宅配便・バイク便で送る方法です。ウイルス検知はできませんが、それ以外の誤送信やファイル解析、メール盗聴のような危険性は回避できます。しかし、時間とお金がかかります。

• ・zip暗号化によるウイルス検知の問題
• CDで送っているためウイルスが付着しているファイルを送付すると、相手も感染する可能性があります。
• ・誤送信の問題
• 宅配便・バイク便などで送付するため発生する可能性は低いです。
• ・パスワード解析の問題
• 宅配便・バイク便のため解析されることはありません。
• ・メールの盗聴の問題
• 宅配便・バイク便のためメール盗聴もありません。
• ・ファイル解析の問題
• 宅配便・バイク便のため解析されることはありません。

対策4「メール以外の手法（LINE WORKSやチャットワークなど）で送る」

最近ではメール以外の方法（LINE WORKS、チャットワークといったビジネスコミュニケーションツール）でのファイル送付が可能です。こういった仕組みを使えば、ビジネスコミュニケーションツールのセキュリティ対策次第ではありますが、安全にファイル送付することができます。
ただしチャットツールはスピード感のあるコミュニケーションができ便利ですが、それゆえに1つの操作で誤送信が発生しやすい危険性があります。また、送る相手を間違えるなどの誤送信を防ぐ機能が少なく情報流出のリスクが高いので重要なファイルを扱う際は十分注意が必要です。

• ・zip暗号化によるウイルス検知の問題
• ビジネスコミュニケーションツールによっては、ツール側でウイルスチェックをかけているものもあるため、対応策になるケースがあります。
• ・誤送信の問題
• メールの宛先を間違えるのと同様に、「メンション」の相手を間違えると誤送信になります。
• ・パスワード解析の問題
• 閉じられたエリアでのファイル送付のため対応策になります。
• ・メールの盗聴の問題
• メールではないため対応策になります。
• ・ファイル解析の問題
• 閉じられたエリアでのファイル送付のため対応策になります。

対策5「パスワードのみを別の方法で送付する」

PPAPは、パスワード付きzipファイルとその解読パスワードを同じ経路（メール）で送付することが問題点となっています。そのため、パスワード付きzipファイルはメールで送付し、パスワードは電話で連絡するなどすれば、PPAPの代替案となりえます。

しかし、盗聴といった問題は解決できますが、誤送信すれば、ファイルそのものは関係のない人間に送付されてしまうため、解析されると情報漏洩になりますし、ウイルスチェックもできません。

• ・zip暗号化によるウイルス検知の問題
• パスワード付きzipファイルはメールで送付するため、対応できません。
• ・誤送信の問題
• パスワード付きzipファイルはメールで送付するため、対応できません。
• ・パスワード解析の問題
• パスワード付きzipファイルを送付してしまうので、解析される可能性があります。
• ・メールの盗聴の問題
• 別ルートで送付するため対応策となりえます。
• ・ファイル解析の問題
• パスワード付きzipファイルはメールで送付するため、対応できません。

PPAPの代替案の比較表

5つのPPAPの代替案についてご紹介しましたが、それぞれ比較すると下記の表のようになります。各方法でメリット・デメリットがあるので最適な代替案を選択する必要があります。

ファイル転送サービスが効果的な理由

日常的にファイルのやり取りが発生する通常の業務を想定した場合、「ファイル転送サービス」と「ファイル共有サービス」がPPAPの代替案として弊社では推奨します。

「ファイル共有サービス」にあたっては、アップロードしたファイルへの保管期間や権限設定等、利用するための『ルールの策定』とルールに沿ったパラメータの設定が必要となるため、利用開始までに時間がかかるケースが多く見受けられます。また、複数人で同じファイルを編集したり、編集履歴を管理できたり、機能が豊富なサービスが多いため、安全にファイルを送りたいだけの場合はコスト高になるケースが想定されます。

「ファイル転送サービス」の場合は、IDとパスワードが通知された人のみファイルのダウンロードが可能です。自動的にファイルが削除されるため難しい設定も必要ありません。また、「ファイル共有サービス」と比較して機能が限定されているサービスが多いため、コストを抑えることが可能です。これらを踏まえると、PPAPの代替案としては「ファイル転送サービス」が効果的と言えます。

まとめ

PPAPは、セキュリティ面での危険性があり、政府もPPAP廃止をすすめている旨が発表されました。また、企業でもテレワークが広がり、これまで以上にメールでファイルを添付する機会が増えたことで、セキュアなテレワーク環境を実現することが重要になってきています。
セキュリティ対策をより強固なものにして、情報漏洩を防ぎ、重要なデータを安全に共有するためにも、PPAP対策の代替案として、「ファイル転送サービス」の検討をしてみてはいかがでしょうか。

オフィス宅ふぁいる便の3つの特長

オフィス宅ふぁいる便は、セキュアに、手軽に大容量のファイルを送付できる「ファイル転送・送付サービス」です。主に法人利用向けに開発されており、5ユーザーから利用することができます。その最大の特徴は下記の3つです。

2022年11月18日公開
2024年1月23日更新

※この記事に掲載されている内容、および製品仕様、所属情報（会社名・部署名）は公開当時のものです。予告なく変更される場合がありますので、あらかじめご了承ください。