「PPAP」が全面禁止に?廃止が進む理由と3つの代替手段

2021年現在、リモートワークや働き方改革の推進によって、電子メールでのやり取りやクラウドサービスの利用が増えています。同時に、暗号化ファイルのセキュリティー手法として用いられている、「PPAP」へのリスクが知られるようになりました。
「PPAP」とは、暗号化ファイル付きメール送信後にパスワードを後送するセキュリティー手法の略語であり、2021年度に大手電機メーカーのA社がPPAPを禁止したことで注目を集めました。
本コラムではPPAPの概要から、PPAPを使用するリスクと代替手段、企業として情報漏えいを防ぐための対策方法までを解説します。

このコラムを読んで分かること
  • PPAPの概要、廃止と非推奨の動きが進む理由
  • PPAPの代替手段と運用時のポイント

2021年度より大手電機メーカーのA社が「PPAP」を禁止に

2021年1月下旬、大手電機メーカーのA社が社内でのPPAPを禁止する旨を表明し、メディアやSNS上で話題となりました。

そもそも「PPAP」とは、暗号化したZIPファイルをメールに添付して送信したあとに、後送メールでパスワードを送付するセキュリティー手法のことを指します。PPAPは、下記の頭文字を取った日本語の略語です。

  • P:Password 付きZIPファイルを送ります
  • P:Password を送ります
  • A:Angoka (暗号化)
  • P:Protocol (手順)

暗号化したZIPファイルは、ZIPファイルを作成した本人が設定したパスワードを入力しなければファイルの解凍ができません。PPAPは、暗号化ファイルとそれを解凍できるパスワードを別々に送信することでセキュリティーを確保しています。

しかし、暗号化ZIPファイルのセキュリティー手法として知られていたPPAPは、以前より「リスクが高い」として廃止の動きが進められていました。
2020年度では、クラウドサービスを提供する多くのベンチャー企業が脱PPAPを進めています。また2020年11月24日には、平井卓也デジタル改革担当大臣によって内閣府と内閣官房におけるPPAPの廃止が宣言され、同月26日に廃止されました。

2021年現在、PPAPの廃止への流れは大きな盛り上がりを見せていると言えます。

PPAP廃止・非推奨の動きが進む理由

日本企業において、これまでPPAPは広く使用されてきたセキュリティー手法といえます。PPAPを使用した経験がある方は、なぜ今になってPPAPの廃止が進められているのか、気になるのではないでしょうか。

ここでは、PPAP廃止や非推奨の動きが進む理由を、大きく2つに分けて解説します。

流行するマルウェアの感染対策

近年、「Emotet(エモテット)」と呼ばれるマルウェアが世界中で大きな被害をもたらしています。Emotetの攻撃方法は、マルウェアが仕込まれた添付ファイルをメールで送信して受信側に開かせることで、コンピューターウイルスに感染させるというものです。

PCにセキュリティー対策ソフトが入っていれば、添付ファイルにマルウェアが仕込まれていても自動でブロックしてくれます。しかし、添付ファイルが暗号化されている状態では、対策ソフトもファイル内にマルウェアがあるかどうかを検知できません。

Emotetのようにメールの添付ファイルを利用するマルウェアにとって、暗号化ファイルを送信するPPAPは恰好の隠れ蓑です。流行するマルウェアの感染対策を行う上で、PPAPはリスクが高い手法であるため、廃止と非推奨の動きが進められています。

送受信側ともに発生する手間の削減

PPAPで添付ファイルを送信するときは、メールの送信側・受信側ともに手間が発生します。特に受信側はメールを2通受信し、パスワード入力、ファイル解凍、ウイルススキャン…と手間がかかり、業務効率化の観点からみてもあまり生産性が高いやり取りとは言えません。

そもそもPPAPによる手法の場合、2通のメールは通信経路が同じであり、セキュリティー上の効果が少ないとも言えます。
例えば、送信先を間違えたことに気づかずにPPAPで暗号化ファイルを送れば、パスワード添付のメールも同じ相手に届いてしまいます。万が一通信経路上でメール内容が盗聴されている場合も、メールを2通に分けたところで暗号化ファイルとパスワードを両方とも盗まれるだけです。

このような理由から、PPAPはファイル送信時の万全なセキュリティー対策とはいえないでしょう。
テレワークが多くの企業でも取り入れられている今、重要なファイルのやり取りを行う際には、より安全性の高い方法をとる必要があるのではないでしょうか。

PPAP廃止後の代替手段3つ

PPAPの代替となるファイル送信手段は、主に3つ挙げられます。PPAP廃止後の代替手段3つを、PPAPの代替となる理由や運用方法、運用時のポイントと併せて解説します。

(1) クラウドストレージを利用したファイルの共有

クラウドストレージとは、インターネット上にデータを保管・共有できるサービスです。クラウドストレージを利用したファイルの共有は、基本的に下記の手順で行います。

  1. 送信側がクラウドストレージにファイルをアップロードする
  2. 公開範囲を制限して、受信側にアクセス権限を与える
  3. 受信側にファイルの保管場所(URL)を伝える
  4. 受信側がURLにアクセスし、ファイルをダウンロードする

クラウドストレージにファイルをアップすれば、1つのファイルを共有して社外の人とも同時に作業できるメリットもあります。
PPAPの代替として利用するときは、必ずファイルの公開範囲を制限して、共有したい相手のみにアクセス権限を与えましょう。アップロードしたファイルにアクセスできる相手を限定することで、セキュリティーを高めることが可能です。

クラウドストレージは様々な種類があり、保管場所として利用するサービス以外にも、ファイル転送を主とするサービスもあります。サービス提供元によって、有料のものや無料で利用できるもの、サービス内容や設定できる範囲が異なります。
法人としてクラウドストレージを選ぶ際には、アクセス制限設定や管理が柔軟に行えるか、容量制限や暗号化設定などのポイントをチェックすることをおすすめします。

(2) S/MIMEを用いたメールの暗号化

「S/MIME」とは、メールのセキュリティーを高める暗号化手法・規格のことです。「Secure / Multipurpose Internet Mail Extensions」の頭文字をとって、エスマイムと読みます。暗号化技術と電子署名の2つの仕組みを使ってセキュリティーを高める点が、S/MIMEの特長です。

  • 電子証明書を利用して電子メール自体を暗号化する
  • メールに電子署名を付与することで送信者の身元を証明する

S/MIMEで暗号化されたメールは、たとえ通信経路の途中で盗聴されても、正しい受信者しか復元できないため、第三者には復元できません。また、送信者を騙りなりすましメールが届いたとしても、S/MIMEでメールに施した電子署名がなければ、本物の送信者でないことがわかります。さらに、メール内容の改ざんがあれば、電子署名が検知して警告メッセージを表示してくれます。

このように、フィッシング詐欺などを企む悪意のある第三者による攻撃に強いことが、S/MIMEのメリットです。
信頼できる第三者機関の認証局が発行した電子証明書を準備し、インストールするなどの設定作業が必要となりますが、PPAPの代替としてメール送信の安全性を高めることが可能です。

(3) チャットツール・電話での連絡

暗号化ファイルはメールで送信して、パスワードはチャットツールや電話で伝える方法もあります。暗号化ファイルとパスワードを送る経路が別であるため、ファイルの通信経路で盗聴されたケースでも、情報漏えいのリスクは抑えられます。

ただし、暗号化ファイルを作成した時のパスワードが容易に想像できるようなものでは解析される可能性があります。下記のポイントを参考に、強度の高い組み合わせでパスワードを設定することが重要です。

  • パスワードの桁数は10桁以上
  • アルファベット大文字・小文字、数字、記号を組み合わせる
  • 文字列は規則性や単語を含まず、ランダムな組み合わせにする

起こり得る人為的なミス・情報漏えいをなるべく防ぐためには

上記でご紹介した3つの代替手段を用いることで、マルウェアや盗聴といった脅威から添付ファイル付きメールを守る事が可能です。しかし、情報漏えいの対策という点では、代替手段を使用しても不完全といえます。

メールを送る、ファイルを送信するといった行為は人が行うため、送信先の間違いやパスワードの設定ミスなど、人為的なミスが起こる可能性は否定できません。

人為的なミスによる情報漏えいをできる限り防ぐには、従業員へセキュリティー教育を定期的に行うことが重要です。また、複数の業務をしながらのメール作成はしない、少しでも違和感があるメールの添付ファイル・URLはクリックしないなど、従業員一人ひとりの心がけでインシデントは減らせます。
全従業員のセキュリティ・リテラシー向上が、様々なセキュリティー手法をより強固にしてくれるはずです。

まとめ

今回は、PPAPの廃止と非推奨の動きが進む理由や、廃止後の代替案についてご紹介しました。

<このコラムのPOINT>

  • 2021年現在、PPAPは廃止の動きが進んでいる
  • PPAP廃止が進む理由は、マルウェア感染や情報漏えいのリスクがあるため
  • クラウドストレージやS/MIMEの利用などで、PPAPの代替ができる
  • 人為的なミスや情報漏えいを防ぐためには、従業員へのセキュリティー教育が重要

機密情報を含むファイルの送受信は、安全性に十分注意する必要があります。しかし、どんなファイル送信手段であれ、人為的なミスはゼロにはなりません。日頃から従業員のセキュリティー意識を高めて、情報漏洩リスク軽減につなげましょう。

「業務改善」の最新記事

このカテゴリの記事一覧を見る

メールマガジン登録

上記コラムのようなお役立ち情報を定期的に
メルマガで配信しています。
コラム(メルマガ)の
定期購読をご希望の方はこちら

メールマガジン登録 お客様の課題解決に導く情報をいち早くお届けします! メールマガジン登録 お客様の課題解決に導く情報をいち早くお届けします!