PPAP問題とは? 主なリスクと代替案を紹介
PPAPとは、パスワード付きZIPファイルとパスワードを別々のメールに分けて送る手法のことです。これまで、ファイル共有のセキュリティ対策として多くの企業が取り入れていました。近年、この手法に大きなリスクがあるのではないかと指摘されています。今回はPPAP問題のリスクと代替案について紹介します。
PPAPが問題視されている理由
PPAPは第三者にパスワードやファイルの中身を解析されやすいのではないかと問題視されています。ここではPPAPが問題視されている理由を4つ紹介します。
情報漏洩のリスクがある
パスワード付きZIPファイルとパスワードのメールを2通とも無関係の第三者に誤送信した場合、第三者がファイルの内容を見ることができるため情報漏洩のリスクがあります。ヒューマンエラーが原因で起こってしまうため、PPAPのリスクを完全に防ぐことはできません。
誤送信していなかったとしても、同じ通信経路を辿って同じメールサーバーに送られることから、傍受されるリスクは高まります。メールサーバー自体がサイバー攻撃を受けていれば、分けて送信することはセキュリティ対策にならないのです。
ウイルスチェックをすり抜けることがある
受信したファイルは、PCにインストールされているセキュリティソフトによってウイルスチェックを受けるのが一般的です。しかし、パスワード付きZIPファイルは、セキュリティソフトの種類によってはウイルスチェックの対象とならない場合があります。
パスワードがかかっているためにウイルスチェックがスキップされてしまい、ファイルを開いたPCがウイルスに感染するおそれがあるのです。
パスワードを解析してウイルスチェックしてくれるセキュリティソフトもありますが、受信側のPCにインストールされている必要があります。
マルウェアに感染するおそれがある
前述したように、パスワード付きZIPファイルはセキュリティソフトのウイルスチェックをすり抜けることがあり、マルウェアに感染するおそれがあります。
ZIPファイルを解凍してウイルスチェックしてくれるセキュリティソフトもありますが、解析されないまま開かれてしまうこともあり、非常に危険です。
受け取ったファイルにウイルスが仕込まれていても気付けないため、あっという間にPCがウイルスに感染してしまいます。
以前「エモテット」というウイルスが出回ったときは、パスワード付きZIPファイルが標的にされました。現在はエモテット以外にも、さらに巧妙化した手口が仕込まれる可能性もあるため注意が必要です。
送受信者の業務負担が大きい
PPAPにおいて、送信者と受信者の双方の業務負担が大きいことも課題です。送信者はメールを分けて送ることが手間になります。受信者もメールを2通受信してパスワードを入力し、ZIPファイルを開くという手順を踏まなければ内容を見ることができません。
パスワードの送付忘れやファイルの添付忘れなどの不備があった場合、なかなか対象のファイルを開くことができず、業務が滞ってしまいます。
PPAP問題に対する政府と企業それぞれの動き
PPAP問題には、政府も企業も大きな関心をもっています。自分たちの情報を守るためにどのような対策をしているのでしょうか。ここではPPAP問題に対する政府と企業の動きについて解説します。
政府の動き
2020年11月に、当時のデジタル改革担当大臣よりPPAPの利用を廃止することが発表されました。パスワード付きZIPファイルとパスワードを同じ通信経路で送ることにセキュリティ面での不安があることと、業務負担が大きいことが理由としてあげられています。
この発表が大きな波紋を呼び、そのあとでほかの省庁や企業にもその動きが広がっていきます。
デジタル改革担当省の発表からおよそ1年経過した2021年12月に、文部科学省が2022年1月4日以降にすべてのメール送受信でPPAPを廃止することを発表しました。エモテットなどのマルウェア攻撃を懸念し、クラウドストレージサービスが導入されています。
企業の動き
政府の発表を受けて、次々とPPAP問題に取り組む企業が出てきました。具体的な企業の動きは下記の通りです。
企業 |
時期 |
取組内容 |
| 日立製作所 | 2021年 | PPAPを廃止 |
| SCSK | 2021年 | 社内規定を改定 |
| 伊藤忠テクノソリューションズ | 2021年 | メールでのPPAPを禁止 |
| NTTデータ | 2021年 | PPAPを禁止 |
| freee | 2020年12月~ | PPAPを廃止 |
有名企業がPPAPの禁止や社内規定の改定に乗り出し、自社の情報を守るために動き出しています。今後も脱PPAPの動きは広がると考えられます。
脱PPAPに向けた代替案
前述したように、企業や政府で脱PPAPの動きが広まっています。しかし、電子化に伴ってファイルをやり取りする業務は増えているため、PPAPに代わる手法が必要です。ここでは脱PPAPに向けた代替案について紹介します。
ファイルとパスワードを別の通信経路で送る
ファイルとパスワードを分けて送る方法はそのままで、通信経路を変える方法があります。暗号化したZIPファイルをメールで送信し、パスワードはチャットや電話で伝えるといったものです。異なる2つの通信経路を用いるため情報漏洩のリスクも軽減できます。
現在の業務フローを大幅に変えることなく対策できるので、比較的導入しやすい方法です。
ただし、ZIPファイルをメールで送るとマルウェアに感染するおそれがあるので注意が必要です。セキュリティソフトをウイルスチェックがより厳格なものに変更するなどの対策を講じましょう。
S/MIMEを使う
S/MIMEを使うのもひとつの方法です。S/MIMEとはメール自体を暗号化させることを指します。電子署名を使えば、送信者の身元を証明でき、ファイルの作成日時なども記録されるのでなりすましや改ざんを防止できます。
また、万一、メールが漏洩しても暗号化されているため解読されることはありません。その上、第三者によって改ざんされそうになると警告が表示されるので安心です。
ただし、これは送受信者の両方がS/MIMEに対応している必要があるため、事前の確認が欠かせません。
チャットツールでファイルを送受信する
メールで送信するとマルウェア感染の懸念があり、セキュリティソフトの強化も必要になるため、ハードルが高いように感じる方も多いかもしれません。
より気軽に送信する方法として、ビジネスチャットを通じてファイルを送受信する方法があります。代表的なチャットサービスとしてはSlackやChatwork、LINE WORKSなどがあります。
暗号化なども必要なく、簡単にファイルの送受信ができるので、メールでの送信が心配な方はチャットの活用もおすすめです。ただし、送受信者がいずれも同じサービスのアカウントをもっている必要があります。
ファイル転送サービスを使う
大容量ファイルを送信したい場合は、インターネット上でファイルを送受信できるサービスを使うのもおすすめです。送信側がインターネット上にファイルをアップロードして、ダウンロード用のURLを受信側にメールやチャットで送るだけなので簡単に使えます。
代表的なサービスとして、「ギガファイル便」や「クリプト便」などがあります。ただし、URLの誤送信による情報漏洩のリスクがあるのが難点です。
ヒューマンエラーに気を付けて利用すれば、大容量ファイルを送る手段として活用できます。
クラウドストレージを利用する
ファイルを送信するのではなく、共有することに重きを置いたクラウドストレージの利用もおすすめです。クラウドストレージとは、インターネット上にファイルをアップロードして保存するサービスです。
ファイルを修正した場合もリアルタイムで保存されるため、新しいファイルを送り直すなどの業務も発生せず、効率良くファイルのやり取りができます。文部科学省の代替案として導入されており、今後活用する企業が増える可能性もあります。
- あわせて読みたい
脱PPAPをするなら「Final Document」にお任せください
脱PPAPをするなら「Final Document」がおすすめです。Final Documentは、ドキュメント管理とファイル共有がワンパッケージになったクラウドサービスで、ファイルを手軽に共有することができます。
パスワード付きZIPファイルの送受信をメールへの添付を使わずにクラウド上で行うことが可能なことから、誤送信などのヒューマンエラーを防ぐことにもつながります。また、ZIPファイルのほか、ウイルスチェック済みのドキュメントもパスワード付きで安全に送受信可能です。
脱PPAPをお考えの方はぜひ「Final Document」の導入をご検討ください。
まとめ
PPAPを利用すると、情報漏洩やマルウェアの感染などのリスクが高まります。PPAP問題は、政府や企業における業務のルールを揺るがす問題であることから、一部の企業では脱PPAPの動きが広がっています。
自社の情報を守るためにもいち早く脱PPAPに取り組み、安全かつ効率良くファイルをやり取りできる仕組みを構築しましょう。
