PPAPとは?問題点と効果的な5つの対応策とその比較表

PPAPとは?

PPAPとは、パスワード付きzipファイルをメールで送る行為を意味します。下記の頭文字をとってPPAPと略称されています。

「P」assword付きzip暗号化ファイルを送ります
「P」asswordを送ります
「A」ん号化(暗号化)します
「P」rotocol(プロトコル=手順)

PPAPをイラストでわかりやすく解説すると、下記図のようになります。

PPAPでファイルを送る

つまり、パスワード付きzipファイルをメールで送付した後、そのパスワードを2通目のメールで送付してファイルのやり取りを行うことをPPAPと言います。

PPAPは何が問題か?なぜダメか?PPAPメール問題のセキュリティの危険性

2020年に新たに「デジタル改革担当大臣」が設定され、「内閣官房で従来のパスワード付きzipファイルを送る行為(PPAP)を廃止」する方針が発表されました。これはPPAPにはセキュリティ上の問題があると判断されたためです。ではどのようなセキュリティの危険性があるのでしょうか?その危険性とは下記の5つです。

ZIP暗号化によるウイルス検知の問題

1つ目の危険性は、ZIP暗号化によるウイルス検知です。

「ウイルス対策ソフトを導入しているから大丈夫」と思っていても、実はパスワード付き暗号化ファイルはウイルス対策ソフトではチェックができません。通常のzipファイルであればウイルスチェック時に中を見ることができますが、パスワードで守られている場合ファイルを開けられず、中にウイルスがあるかチェックすることができないのです。

このため、PPAPでパスワード付きzipファイルを相手に送付したとき、そのファイルがウイルス感染していれば、送付先にウイルスを広めてしまうことになります。

誤送信の問題

2つ目の危険性は、誤送信です。

PPAPで機密ファイルなどをパスワード付きzipファイルとして送付するとき、人間による操作ですので、必ず誤送信が発生します。暗号化ファイルをメールで送った後、解読用パスワードを連絡するメールを直後に送ります。同じ送信元・送信先でほぼ同じ時間に送られることが多いので、最初のメールを誤送信した場合、次に送るパスワードも誤送信する可能性が高いです。

誤送信によって機密情報の漏洩につながりかねません。PPAPが誤送信を防ぐことはできません。

パスワード解析の問題

3つ目の危険性は、パスワード解析です。

2つ目の危険性と連動しますが、パスワード付きzipファイルだから安心というわけではありません。たとえパスワードのメールが入手されなかったとしても、パスワードの文字数が少ない場合は解析ツールで簡単に特定されてしまいます。本記事執筆時(2021年6月時点)でも数字8桁であれば数分程度、アルファベットとの組み合わせであっても数日あれば解析されてしまいます。

メールの盗聴の問題

4つ目の危険性は、メールの盗聴です。

最初のメールが盗聴された場合、次に送られるメールも盗聴される可能性が高いです。暗号化したファイルと複合するパスワードがセットで漏洩した場合、暗号化が解除されファイルが開かれてしまいます。

ファイル解析の問題

最後の危険性は、ファイル解析の可能性です。

最近はスーパーコンピューター、量子コンピューターなど、大規模な処理を高速で行うための研究が進んでいます。もし低い暗号化強度を使用した場合、パスワードがなくても簡単に解析されてしまいます。

PPAPを廃止している企業

PPAPにはこのような危険性があるため、廃止する企業や自治体が増加しています。今後も廃止の流れは拡大していくと考えられます。PPAPが廃止されると、「PPAPでのメールの送受信」ができなくなりますので、取引先にファイルを送信できなくなるといった業務上の弊害が発生します。

下記に本記事執筆時点で、PPAPの廃止を発表している企業の一覧をご紹介します。

参考サイト:日立も「脱PPAP」、大手ITベンダー10社で残るは3社(外部サイト)

参考サイトによると、NEC、日本IBM、日本ユニシス、NTTデータ、SCSK、TIS、伊藤忠テクノソリューションズ、野村総合研究所、日立製作所といった企業が廃止(もしくは廃止を予定)しています。

大手企業がPPAPを廃止すると、その取引先に波及し、その波は徐々に広がり、やがてほとんどの企業で廃止される可能性があります。

PPAPメール問題の効果的な対応策

では、PPAPが廃止された場合、どのような代替手段・対応策があるのでしょうか?弊社で考えられる代替手段をすべてご紹介しましょう。

対策1「ファイル転送サービス」

ファイル転送サービスとは、大容量のデータを安全に送るためのシステムです。送信者から受信者にメールでダイレクトに送るのではなく、サーバーに一度アップロードしたものをダウンロードしてもらうことによってファイルを受け渡します。ファイル転送サービスの詳しい内容は「ファイル転送サービスの選び方と比較方法とは?導入メリットや手順、大容量以外の比較ポイント」をご確認ください。

  • ・ZIP暗号化によるウイルス検知の問題
  • ファイルを送付する際に、ウイルスチェックを行いますので、ウイルス検知の問題に対応可能です。
  • ・誤送信の問題
  • 上長の承認がないと送付できないといった機能もありますので、誤送信を防止できます。
  • ・パスワード解析の問題
  • パスワードの入力ミスがある一定回数以上発生すると、システム的にブロックされるため、パスワード解析についても対応可能です。
  • ・メールの盗聴の問題
  • メールを盗聴されてしまうとダウンロードのURL、パスワードが漏洩しますので対応できません。
  • ・ファイル解析の問題
  • ファイルそのものが相手に渡らないため解析されることもなく、対応可能です。

対策2「ファイル共有サービス」

ファイル転送サービスと近しい仕組みに、ファイル共有サービスがあります。ファイル共有サービスとはファイルをサーバーに置いておき、そこにアクセスしてもらうことでファイルをシェアするシステムです。

ファイル共有サービスは、PPAPから見れば、ファイル転送サービスと同じ特性をもつため、PPAPの対応策の効果もファイル転送サービスと同じです。

対策3「CDなどで宅配便・バイク便で送る」

これはその名の通り、送付したいファイルをCDなどに保管し宅配便・バイク便で送る方法です。ウイルス検知はできませんが、それ以外の誤送信やファイル解析、メール盗聴のような危険性は回避できます。しかし、時間とお金がかかります。

  • ・ZIP暗号化によるウイルス検知の問題
  • CDで送っているためウイルスが付着しているファイルを送付すると、相手も感染する可能性があります。
  • ・誤送信の問題
  • 宅配便・バイク便などで送付するため発生する可能性は低いです。
  • ・パスワード解析の問題
  • 宅配便・バイク便のため解析されることはありません。
  • ・メールの盗聴の問題
  • 宅配便・バイク便のためメール盗聴もありません。
  • ・ファイル解析の問題
  • 宅配便・バイク便のため解析されることはありません。

対策4「メール以外の手法(LINE WORKSやチャットワークなど)で送る」

最近ではメール以外の方法(LINE WORKS、チャットワークといったビジネスコミュニケーションツール)でのファイル送付が可能です。こういった仕組みを使えば、ビジネスコミュニケーションツールのセキュリティ対策次第ではありますが、安全にファイル送付することができます。

  • ・ZIP暗号化によるウイルス検知の問題
  • ビジネスコミュニケーションツールによっては、ツール側でウイルスチェックをかけているものもあるため、対応策になるケースがあります。
  • ・誤送信の問題
  • メールの宛先を間違えるのと同様に、「メンション」の相手を間違えると誤送信になります。
  • ・パスワード解析の問題
  • 閉じられたエリアでのファイル送付のため対応策になります。
  • ・メールの盗聴の問題
  • メールではないため対応策になります。
  • ・ファイル解析の問題
  • 閉じられたエリアでのファイル送付のため対応策になります。

対策5「パスワードのみを別の方法で送付する」

PPAPは、パスワード付きzipファイルとその解読パスワードを同じ経路(メール)で送付することが問題点となっています。そのため、パスワード付きzipファイルはメールで送付し、パスワードは電話で連絡するなどすれば、PPAPの代替案となりえます。

しかし、盗聴といった問題は解決できますが、誤送信すれば、ファイルそのものは関係のない人間に送付されてしまうため、解析されると情報漏洩になりますし、ウイルスチェックもできません。

  • ・ZIP暗号化によるウイルス検知の問題
  • パスワード付きzipファイルはメールで送付するため、対応できません。
  • ・誤送信の問題
  • パスワード付きzipファイルはメールで送付するため、対応できません。
  • ・パスワード解析の問題
  • パスワード付きzipファイルを送付してしまうので、解析される可能性があります。
  • ・メールの盗聴の問題
  • 別ルートで送付するため対応策となりえます。
  • ・ファイル解析の問題
  • パスワード付きzipファイルはメールで送付するため、対応できません。

PPAP対策の比較表

以上の内容をまとめると下記のようになります。各方法でメリット・デメリットがあるので最適な代替策を選択する必要があります。

PPAP対策比較表

ファイル転送サービスが効果的な理由

日常的にファイルのやり取りが発生する通常の業務を想定した場合、「ファイル転送サービス」と「ファイル共有サービス」がPPAPの代替手段として弊社では推奨します。

「ファイル共有サービス」にあたっては、アップロードしたファイルへの保管期間や権限設定等、利用するための『ルールの策定』とルールに沿ったパラメータの設定が必要となるため、利用開始までに時間がかかるケースが多く見受けられます。また、複数人で同じファイルを編集したり、編集履歴を管理できたり、機能が豊富なサービスが多いため、安全にファイルを送りたいだけの場合はコスト高になるケースが想定されます。

「ファイル転送サービス」の場合は、IDとパスワードが通知された人のみファイルのダウンロードが可能です。自動的にファイルが削除されるため難しい設定も必要ありません。また、「ファイル共有サービス」と比較して機能が限定されているサービスが多いため、コストを抑えることが可能です。これらを踏まえると、PPAPの代替手段としては「ファイル転送サービス」が効果的と言えます。

オフィス宅ふぁいる便の3つの特長

オフィス宅ふぁいる便は、セキュアに、手軽に大容量のファイルを送付できる「ファイル転送・送付サービス」です。主に法人利用向けに開発されており、5ユーザーから利用することができます。その最大の特徴は下記の3つです。

  • 安全性の強化・改善
    安全性の強化・改善
    オージス総研は、情報セキュリティマネジメントシステム適合性評価制度(ISMS)認証を取得。さらに、オフィス宅ふぁいる便はISMSクラウドセキュリティ認証の認証登録を受けています。
  • PPAPの対策
    社内不正対策の強化
    (PPAP対策の強化も可能)
    PPAPでのファイル送付、ツールの不正利用など、御社のファイル受け渡しルールに違反しているユーザーを見つけることができます。
  • 大容量・大人数も対応!直感操作で低コスト
    大容量・大人数も対応!
    直感操作で低コスト
    オフィス宅ふぁいる便は、最大10GBまでの大容量ファイル転送が可能。直感操作ですぐに利用開始できます。さらに100名以上などの大人数利用にも対応し、低コストで導入できます。

2022年2月22日

関連サービス

  • オフィス宅ふぁいる便

    オフィス宅ふぁいる便は、安心・安全・簡単に10GBまでのファイル送受信が可能なサービスです