PPAPとは、メールにパスワード付きのZipファイルを添付して送信し、その後に別のメールでパスワードを通知するファイル共有の方法です。従来は一般的に行われていましたが、さまざまな問題が指摘されるようになり、現在では禁止している企業が多いです。この記事では、PPAPが禁止された理由とともに、PPAPに代わる方法について解説します。
PPAPとは、パスワードで保護したZipファイルをメールで送った後、さらに別のメールにそのパスワードを記載して送る方法です。
・P:パスワード付きZip暗号化ファイルを送ります
・P:パスワードを送ります
・A:暗号化
・P:プロトコル
の頭文字をとり、PPAPと表現されています。
従来、重要な内容を記載したZipファイルを安全に送付する方法として、PPAPがよく行われていました。
現在ではPPAPが禁止されているケースが多いです。ここでは、その理由について解説します。
PPAPはセキュリティ対策が万全ではありません。何らかの方法によりメールの1通目を盗み見できれば、2通目も盗み見できる可能性が高いからです。たとえば、メールのアカウントが乗っ取られたり、通信が傍受されたりすると、ファイルとパスワードの両方を盗まれるリスクがあります。
また、Zipファイルのパスワードを何度間違えても、ロックはかかりません。ロック機能がないファイルは、解析ツールにより簡単にパスワードを調べられます。さらに、Zipの暗号化は、主にZipCrypto(Standard ZIP 2.0)またはAES-256により行われています。多くのOSで採用されている方式は、安易なパスワードを設定すると短時間で突破されやすいZipCryptoです。
このように、PPAPはセキュリティレベルを担保できないため、禁止されるようになりました。
PPAPでファイルを送信すると、ウイルス対策ソフトが稼働しません。ウイルス対策ソフトは、パスワードをかけたZipファイルの中身までは検知できないためです。よって、仮にZipファイルの中身にウイルスが含まれていても、受信した相手は事前に確認できません。PPAPにより受け取ったZipファイルを安易に開くと、ウイルスに感染して情報漏えいする恐れがあります。
PPAPで送信されたファイルは、受け取りに手間がかかります。相手は必ずパソコンでメールを閲覧するとは限りません。仮にスマートフォンでパスワード付きのZipファイルを開こうとすると、余計な時間がかかる恐れがあります。
また、パスワードを記載したメールを正しく受信できなかったり、見逃したりすると、Zipファイルを開けません。業務を進められず効率が下がる恐れがあります。メールの数が増え、受信ボックスの容量も圧迫されます。
さらに、Zipファイルを解凍するための専用のソフトやアプリをダウンロードする手間もかかるでしょう。企業のセキュリティポリシーによっては任意のソフトやアプリを勝手にインストールできない場合もあり、個別に確認する負担が発生します。
PPAPでは、送信側がZipファイルにわざわざパスワードを設定してメールを送信し、さらにパスワードを記載したメールも送信しなければなりません。手間がかかり、メールの数が増えるとほかの業務にも悪影響を及ぼす可能性があります。ファイルを圧縮する手間や2通分のメールの文章を考える手間もかかります。
最初のメールを別の相手へ誤送信した場合、次に送信するメールも同じ相手へ送ってしまう可能性が高いです。ファイルとパスワードを別々にしても、間違った相手へ両方とも送れば情報漏えいになります。
パスワードを記載したメールを別の相手に送信したり、2通とも関係のない相手へ送ってしまったりする可能性もあります。いずれにせよ、誤送信すれば情報漏えいになるリスクがあるため、PPAPを実行しても安全とはいえません。
Zipファイルの中身がマルウェアに感染していた場合、情報漏えいや情報の抜き取りなどの被害が拡大する恐れがあります。たとえば、2020年に流行したマルウェアの「Emotet」は、日本の企業を標的にしていました。2022年、「Emotet」に感染した.jpメールアドレス数は、感染のピークとなった2020年の5倍になっています。
2020年11月にはデジタル改革担当大臣の役職が設けられ、内閣官房においてPPAPを廃止する方針が発表されました。また、2022年1月4日には、文部科学省においてもPPAPの廃止が発表されました。Zipファイルにパスワードをかけてメールで共有する方法の代わりに、クラウドストレージの「Box」を利用するとしています。
※参照:
文部科学省における添付ファイル付きメールの運用に関するお知らせ|文部科学省
平井内閣府特命担当大臣記者会見要旨 令和2年11月24日|内閣府
一般企業においても、PPAPによるファイルの共有を廃止するところが増えています。PPAPを廃止した企業や廃止を予定している企業の一部例をあげると、以下のとおりです。
・BIPROGY株式会社
・NTTデータ
・日本IBM
・SCSK
・NEC
・TIS
・日立製作所
・野村総合研究所
・伊藤忠テクノソリューションズ
PPAP以外の方法で安全にファイルを共有するには、どうすればよいのでしょうか。ここでは、具体的な対策方法について解説します。
クラウドストレージなら、安全な環境でのファイル共有が可能だと言われております。ファイルごとに異なるパスワードを設定する手間もかかりません。クラウドストレージにはさまざまな種類があり、セキュリティ性能もそれぞれ異なります。セキュリティ性能の違いを比較したうえで、自社に最適なクラウドストレージを選びましょう。
ファイル共有の方法としては、ファイル転送サービスも利用可能です。ファイル転送サービスとは、ファイルをサーバーに保存し、相手がアクセスして内容を確認できるサービスです。ファイルをダウンロードする際にはユーザー認証が必要であり、たとえメールを第三者に見られてもダウンロードされる可能性が低いです。
送受信するデータはTLSによる暗号化ができ、途中でデータが盗まれたり改ざんされたりする心配もありません。
ファイルを添付したメール送信を行う場合、通信経路を暗号化する方法もあります。TLS通信を利用すれば情報漏えいや改ざんなどを防げます。TLS通信はセキュリティ性と利便性の両方に優れており、クレジットカードの情報を入力する際にも使用されています。ファイルをそのまま送信するだけでウイルスチェックが可能です。
ファイルを添付したメール送信する場合、ファイルをサーバー上に保存し、ダウンロード用のリンクを通知する方法もあります。ファイルをダウンロードする際は、ワンタイムパスワードや、端末に埋め込まれたCookieを利用して承認作業を行えます。
従来は安全だと考えられていたPPAPは、実際にはさまざまな問題あります。そのため、PPAPを廃止し、ほかの対策を講じている企業が増えている状況です。PPAPの代わりになる対策方法はさまざまあるため、それぞれの違いを理解したうえで選択しましょう。
クオリティアのメール誤送信防止サービス「Active! gate SS」はPPAPの解決策である「TLS確認機能」を提供しています。利用シーンやニーズに合わせて選択できる機能が豊富で、無料トライアルも実施しています。メールや添付ファイルのやり取りの安全性を高めるために、ぜひ利用してください。
この記事が気に入ったら
いいね!しよう
メールソリューションに関する
ご質問・資料請求などございましたら
お気軽にお問い合わせください。
お電話からのお問い合わせ
03-5623-2530フォームからのお問い合わせ
資料請求ダウンロードお見積り依頼・ご質問・ご相談はこちらから新規のお客様・パートナー様既存のお客様・パートナー様
