「PPAP」が全面禁止に？廃止が進む理由と3つの代替手段

暗号化したZIPファイルは、ZIPファイルを作成した本人が設定したパスワードを入力しなければファイルの解凍ができません。PPAPは、暗号化ファイルとそれを解凍できるパスワードを別々に送信することでセキュリティーを確保しています。

しかし、暗号化ZIPファイルのセキュリティー手法として知られていたPPAPは、以前より「リスクが高い」として廃止の動きが進められていました。
2020年度では、クラウドサービスを提供する多くのベンチャー企業が脱PPAPを進めています。また2020年11月24日には、平井卓也デジタル改革担当大臣によって内閣府と内閣官房におけるPPAPの廃止が宣言され、同月26日に廃止されました。

2021年現在、PPAPの廃止への流れは大きな盛り上がりを見せていると言えます。

日本企業において、これまでPPAPは広く使用されてきたセキュリティー手法といえます。PPAPを使用した経験がある方は、なぜ今になってPPAPの廃止が進められているのか、気になるのではないでしょうか。

ここでは、PPAP廃止や非推奨の動きが進む理由を、大きく2つに分けて解説します。

近年、「Emotet（エモテット）」と呼ばれるマルウェアが世界中で大きな被害をもたらしています。Emotetの攻撃方法は、マルウェアが仕込まれた添付ファイルをメールで送信して受信側に開かせることで、コンピューターウイルスに感染させるというものです。

PCにセキュリティー対策ソフトが入っていれば、添付ファイルにマルウェアが仕込まれていても自動でブロックしてくれます。しかし、添付ファイルが暗号化されている状態では、対策ソフトもファイル内にマルウェアがあるかどうかを検知できません。

Emotetのようにメールの添付ファイルを利用するマルウェアにとって、暗号化ファイルを送信するPPAPは恰好の隠れ蓑です。流行するマルウェアの感染対策を行う上で、PPAPはリスクが高い手法であるため、廃止と非推奨の動きが進められています。

PPAPで添付ファイルを送信するときは、メールの送信側・受信側ともに手間が発生します。特に受信側はメールを2通受信し、パスワード入力、ファイル解凍、ウイルススキャン…と手間がかかり、業務効率化の観点からみてもあまり生産性が高いやり取りとは言えません。

そもそもPPAPによる手法の場合、2通のメールは通信経路が同じであり、セキュリティー上の効果が少ないとも言えます。
例えば、送信先を間違えたことに気づかずにPPAPで暗号化ファイルを送れば、パスワード添付のメールも同じ相手に届いてしまいます。万が一通信経路上でメール内容が盗聴されている場合も、メールを2通に分けたところで暗号化ファイルとパスワードを両方とも盗まれるだけです。

このような理由から、PPAPはファイル送信時の万全なセキュリティー対策とはいえないでしょう。
テレワークが多くの企業でも取り入れられている今、重要なファイルのやり取りを行う際には、より安全性の高い方法をとる必要があるのではないでしょうか。

PPAPの代替となるファイル送信手段は、主に3つ挙げられます。PPAP廃止後の代替手段3つを、PPAPの代替となる理由や運用方法、運用時のポイントと併せて解説します。

クラウドストレージとは、インターネット上にデータを保管・共有できるサービスです。クラウドストレージを利用したファイルの共有は、基本的に下記の手順で行います。

クラウドストレージにファイルをアップすれば、1つのファイルを共有して社外の人とも同時に作業できるメリットもあります。
PPAPの代替として利用するときは、必ずファイルの公開範囲を制限して、共有したい相手のみにアクセス権限を与えましょう。アップロードしたファイルにアクセスできる相手を限定することで、セキュリティーを高めることが可能です。

クラウドストレージは様々な種類があり、保管場所として利用するサービス以外にも、ファイル転送を主とするサービスもあります。サービス提供元によって、有料のものや無料で利用できるもの、サービス内容や設定できる範囲が異なります。
法人としてクラウドストレージを選ぶ際には、アクセス制限設定や管理が柔軟に行えるか、容量制限や暗号化設定などのポイントをチェックすることをおすすめします。

「S/MIME」とは、メールのセキュリティーを高める暗号化手法・規格のことです。「Secure / Multipurpose Internet Mail Extensions」の頭文字をとって、エスマイムと読みます。暗号化技術と電子署名の2つの仕組みを使ってセキュリティーを高める点が、S/MIMEの特長です。

S/MIMEで暗号化されたメールは、たとえ通信経路の途中で盗聴されても、正しい受信者しか復元できないため、第三者には復元できません。また、送信者を騙りなりすましメールが届いたとしても、S/MIMEでメールに施した電子署名がなければ、本物の送信者でないことがわかります。さらに、メール内容の改ざんがあれば、電子署名が検知して警告メッセージを表示してくれます。

このように、フィッシング詐欺などを企む悪意のある第三者による攻撃に強いことが、S/MIMEのメリットです。
信頼できる第三者機関の認証局が発行した電子証明書を準備し、インストールするなどの設定作業が必要となりますが、PPAPの代替としてメール送信の安全性を高めることが可能です。

暗号化ファイルはメールで送信して、パスワードはチャットツールや電話で伝える方法もあります。暗号化ファイルとパスワードを送る経路が別であるため、ファイルの通信経路で盗聴されたケースでも、情報漏えいのリスクは抑えられます。

ただし、暗号化ファイルを作成した時のパスワードが容易に想像できるようなものでは解析される可能性があります。下記のポイントを参考に、強度の高い組み合わせでパスワードを設定することが重要です。

上記でご紹介した3つの代替手段を用いることで、マルウェアや盗聴といった脅威から添付ファイル付きメールを守る事が可能です。しかし、情報漏えいの対策という点では、代替手段を使用しても不完全といえます。

メールを送る、ファイルを送信するといった行為は人が行うため、送信先の間違いやパスワードの設定ミスなど、人為的なミスが起こる可能性は否定できません。

人為的なミスによる情報漏えいをできる限り防ぐには、従業員へセキュリティー教育を定期的に行うことが重要です。また、複数の業務をしながらのメール作成はしない、少しでも違和感があるメールの添付ファイル・URLはクリックしないなど、従業員一人ひとりの心がけでインシデントは減らせます。
全従業員のセキュリティ・リテラシー向上が、様々なセキュリティー手法をより強固にしてくれるはずです。

今回は、PPAPの廃止と非推奨の動きが進む理由や、廃止後の代替案についてご紹介しました。

機密情報を含むファイルの送受信は、安全性に十分注意する必要があります。しかし、どんなファイル送信手段であれ、人為的なミスはゼロにはなりません。日頃から従業員のセキュリティー意識を高めて、情報漏洩リスク軽減につなげましょう。