PPAP方式は、ファイルを安全に送るための手段として広く普及してきましたが、近年その問題点が指摘されています。PPAP問題は、主にセキュリティリスクと業務効率の低下という側面から議論されています。PPAP方式の課題認識があり、代替策を検討しているビジネスパーソンに向けて、PPAPの概要、リスク、廃止の動向、そして具体的な代替策について解説します。本記事が、より安全で効率的なファイル共有環境を実現するための一助となれば幸いです。
この記事を読んだ方は以下の記事もオススメ!
▶Microsoft 365,Google Workspaceと連携するメールセキュリティActive! gate SSを解説!
PPAPの概要
PPAPとは、P「Password付きzipファイルを送ります」、P「Passwordを送ります」、A「暗号化」、P「プロトコル」の頭文字を取った略称で、パスワード付きのZIPファイルをメールに添付し、その後に解凍用パスワードを別のメールで送信するという方式です。PPAP方式は、手軽に実施できるセキュリティ対策として、日本国内で広く普及しました。しかし、近年ではそのセキュリティ上の問題点や業務効率の低下が指摘され、代替策への移行が求められています。
PPAPの定義
PPAPとは、P「Password(パスワード)付きのZIPファイルを送ります」、P「Password(パスワード)を送ります」、A「Angoka(暗号化)」、P「Protocol(プロトコル)」の頭文字を取った略称であり、パスワード付きのZIPファイルをメールに添付し、その後に解凍用パスワードを別のメールで送信するという、ファイル共有における一連の方式を指します。このPPAP方式は、ファイルとパスワードを別々のメールで送ることで、万が一メールが誤送信された場合でも情報漏洩を防ぐ目的で導入されていました。しかし、実際には同じ通信経路で送られるため、セキュリティ対策としての効果が薄いことがPPAP問題として指摘されています。
PPAPが普及した経緯
PPAPが普及した経緯には、いくつかの要因が考えられます。インターネットの普及に伴い、メールは手軽なファイル送受信手段として定着した一方で、盗聴や情報漏洩といったセキュリティリスクが懸念されるようになりました。こうした背景から、パスワードを付けてファイルを保護するPPAP方式が採用されていったとされています。また、プライバシーマークやISO/IEC27000シリーズの監査において、ファイルの暗号化に対応するための手法として広まったという側面もあります。しかし、PPAPはセキュリティ上の脆弱性が指摘されており、政府を中心に廃止の動きが進んでいるという問題も指摘されています。
PPAPにおけるリスク
PPAPにおけるリスクは多岐にわたり、PPAP問題としてそのセキュリティ面の懸念点や情報漏洩の危険性、さらには業務効率の低下といった問題点が挙げられます。これらのリスクは、企業の信頼性や事業継続性に大きな影響を及ぼす可能性があるため、適切な対策が急務とされています。
セキュリティ面の懸念点
PPAPは、一見するとセキュリティ対策として有効なように思えますが、多くのセキュリティ上の懸念点を抱えています。最も大きなリスクは、暗号化されたZIPファイルとパスワードが同じメールサーバー上を行き来するため、どちらかのメールが不正に取得・閲覧された場合、もう一方のメールも容易に盗み出されてしまい、ファイルの内容が簡単に解読されてしまう点です。これでは、PPAPがセキュリティ対策として無意味であることが明らかになります。また、パスワード付きZIPファイルは、ウイルス対策ソフトによる自動スキャンが働きにくいため、ファイル内にウイルスが仕込まれていても検知が難しいという問題点もあります。その結果、悪意のあるマルウェアに感染するリスクが高まり、システム全体に影響を及ぼす可能性があります。さらに、PPAPのパスワードは何度も入力できるため、特別な技術がなくても、総当たり攻撃などによってパスワードが解読される危険性も指摘されています。このように、PPAPはなりすましや情報漏洩のリスクを十分に防ぐことができないため、セキュリティ対策として脆弱であるという認識が広がっています。
情報漏洩の危険性
PPAPにおける情報漏洩の危険性は、主にメールの誤送信と、同一経路での情報伝達に起因します。パスワード付きZIPファイルとそのパスワードを別々のメールで送信するPPAP方式では、多くの場合、1通目のメールに返信する形で2通目のパスワードを送信します。この際、もし1通目のメールを誤送信してしまうと、同じ宛先にパスワード付きZIPファイルとパスワードの両方が送られてしまうため、セキュリティ対策の意味がなくなってしまいます。また、仮に誤送信がなかったとしても、ファイルとパスワードが同じ通信経路を辿って同じメールサーバーに送られるため、通信経路上でメールが傍受された場合には、両方の情報が同時に盗聴されるリスクが高いです。メールサーバー自体がサイバー攻撃の標的になった場合も、同様にファイルとパスワードが漏洩する可能性があり、PPAPによる対策は不十分と言わざるを得ません。このように、PPAPはヒューマンエラーによるメール誤送信のリスクを完全に防ぐことができず、同一経路での情報伝達が情報漏洩の危険性を高めるという問題点を抱えています。
業務効率の低下
PPAPはセキュリティ面だけでなく、業務効率の低下という問題点も抱えています。送信者はファイルをZIP形式に圧縮し、パスワードを設定し、さらにファイルとパスワードを別々のメールで送信する手間がかかります。受信者側も、2通のメールを受信し、パスワードを入力してファイルを解凍するという手順を踏まなければ内容を見ることができません。これらの作業は、一回あたりの手間は小さくても、やり取りの頻度が高くなると送信者・受信者双方にとって大きな負担となります。特に、パスワードの送付忘れやファイルの添付忘れといった不備があった場合、受信者はファイルを開くまでにさらに時間がかかり、業務が滞ってしまう可能性もあります。また、スマートフォンでパスワード付きZIPファイルを開くのに時間がかかったり、解凍のために専用ソフトやアプリのダウンロードが必要になったりするなど、受信者の環境によってはさらに負担が増すこともあります。これらの非効率性は、業務の生産性を低下させる大きな要因となっており、PPAP問題が指摘される大きな理由の一つです。
PPAP廃止への動向
PPAP廃止への動向は、政府機関の率先した取り組みから始まり、多くの民間企業が追随しています。これは、PPAPが抱えるセキュリティリスクや業務効率の低下といった問題点が広く認識された結果であり、PPAPからの脱却が喫緊の課題となっていることを示しています。
政府の取り組み
PPAP廃止の動きは、政府が率先して進めています。2020年11月、当時の平井卓也デジタル改革担当大臣が、内閣府および内閣官房においてPPAP方式によるファイルのやり取りを廃止すると発表しました。これは、PPAPがセキュリティ対策として不十分であることや、受信側の利便性の観点から適切ではないという理由に基づくものです。この発表以降、各省庁がPPAPの使用を段階的に停止しており、2022年1月4日からは文部科学省でもPPAPを廃止し、パスワード付きZIPファイルの代わりにクラウドストレージ「Box」を利用する仕組みを導入するなど、安全なファイル共有の仕組みへと抜本的に変更する方針が示されています。また、2022年にはデジタル庁が、パスワード付きZIPファイルの原則廃止、添付ファイルを使わないクラウドストレージのリンク共有、利用するクラウドのアクセス制限付き・暗号化、通信のTLSなどの暗号化技術での保護といった具体的な方針を示しており、この動きは地方自治体や教育機関、医療機関にも影響を与えています。さらに、総務省や経済産業省は、中小企業におけるPPAP依存脱却を支援する政策も検討しており、メールセキュリティ診断やセキュリティ対策導入補助金の施策が拡充されつつあります。このように、政府はPPAPの廃止を単なる推奨事項ではなく、政策的な方針として強く推進しています。
企業の対応状況
政府のPPAP廃止方針を受けて、多くの民間企業でもPPAPからの脱却の動きが加速しています。特に大企業では、明確な方針を打ち出し、セキュリティ強化に乗り出している事例が見られます。例えば、クラウド会計ソフトを提供するfreeeは2020年12月からPPAPを禁止し、日立グループも2021年から電子メールへの暗号化ファイル添付を禁止するなど、早期からPPAP対策を進めています。また、ソフトバンクも2022年2月にPPAPの廃止を表明しています。これらの企業は、PPAPの脆弱性や業務効率の低下といった問題を認識し、より安全で効率的なファイル共有方法への移行を進めているのです。PPAPを使い続けることは、セキュリティ意識の低さやITリテラシーの不足を露呈するだけでなく、取引先からの信用低下にもつながる可能性があります。このため、今後も企業におけるPPAP廃止への動きは続いていくと予想され、脱PPAPは企業にとって避けて通れない課題となっています。
PPAPへの代替策
PPAPへの代替策は、従来のPPAP方式が抱えるセキュリティリスクや業務効率の課題を解決するために不可欠です。ここでは、ファイルをより安全かつ効率的に送信するための具体的な方法として、ファイル共有サービス、ファイル転送サービスの活用、S/MIMEによるファイル送信について解説します。
ファイル共有サービスの利用
PPAPの代替策として、ファイル共有サービスの利用は非常に有効な方法です。ファイル共有サービスとは、インターネット上にファイルをアップロードし、そのファイルの保管場所を共有するという形で相手にファイルを共有する仕組みです。代表的なサービスとしては、Box、GoogleDrive、Dropbox、OneDriveといったクラウドストレージサービスが挙げられます。これらのサービスでは、ファイルを直接メールに添付して送信するPPAPとは異なり、ファイルそのものを相手に送ることはありません。送信者はファイルをクラウドストレージにアップロードし、ダウンロード用のURLを受信者に通知することで、安全にファイルを共有できます。ファイル共有サービスは、アクセス権限の設定やバージョン管理、アクセス履歴の追跡といった機能が充実しているため、ファイルの漏洩防止や適切な管理が可能です。また、ブラウザやアプリから場所を問わずファイルにアクセスできる利便性も高く、共同編集機能を持つサービスも多いため、業務効率の向上にもつながります。総務省の調査では、2020年時点でクラウドサービスを利用している企業の割合が約7割に達し、「ファイル保管・データ共有」が最も利用されているサービス内容となっており、クラウドストレージの利用はすでに広く浸透しています。ファイルの一時的な送信だけでなく、常時共有して共同編集を行いたい場合にも適しており、PPAPに代わる安全で効率的なファイル共有方法として最も推奨されています。
ファイル転送サービスの活用
PPAPの代替策として、ファイル転送サービスも有効な方法の一つです。ファイル転送サービスは、大容量のデータを安全に送るためのシステムで、送信者がファイルをサービス上にアップロードし、ダウンロードURLを受信者へ通知することでファイルを受け渡す仕組みです。メールに添付できない大容量のファイルを送る際に特に便利で、動画や画像ファイル、プレゼンテーション資料などのやり取りに適しています。無料で利用できるサービスもありますが、ビジネスで利用する際には、セキュリティリスクを考慮し、ダウンロード期間の制限やセキュリティ機能が充実した有料サービスの利用が推奨されます。通信内容が暗号化されるサービスを選ぶことで、データの盗聴といったセキュリティリスクを低減できます。ファイル転送サービスは、ファイルの圧縮や解凍といった手間が省けるため、業務効率の向上にもつながります。ファイルの一時的な送信に特化しており、手軽に利用できる点がメリットです。PPAPのように誤送信のリスクを完全に排除できるわけではありませんが、異なる通信経路を利用する、ダウンロードリンクをメールとは別の経路(チャットやSMSなど)で送ることで、セキュリティレベルを高めることが可能です。しかし、ZIPファイルをメールで送る方法にはマルウェア感染のリスクが伴うため、セキュリティソフトの強化などの対策も併せて講じる必要があります。PPAPからの脱却を検討する際、特にファイルの一時的な共有が必要な場合に、ファイル転送サービスは有力な代替案となります。
S/MIMEによるファイル送信
S/MIME(Secure/MultipurposeInternetMailExtensions)は、PPAPの代替策として、メールそのもののセキュリティを強化する方法の一つです。S/MIMEは、電子メールのセキュリティを向上させるための標準規格であり、主に「暗号化」と「電子署名」の二つの機能を提供します。メール内容の暗号化により、第三者による盗聴を防ぎ、電子署名により送信元が真正であることを証明し、メールの改ざんを防止する効果があります。PPAPのようにパスワードの設定が不要であるため、利便性に優れているというメリットがあります。しかし、S/MIMEを導入するには、信頼できる認証局から電子証明書を発行してもらう必要があり、これにはコストと証明書の管理や更新の手間がかかります。さらに、送信者と受信者の双方がS/MIMEに対応したメール環境を使用している必要があるため、導入のハードルは比較的高めと言えるでしょう。すぐにPPAPから完全に切り替えることが難しい場合でも、S/MIMEはメールのセキュリティを根本的に強化できるため、長期的な視点で検討する価値のある代替案です。
この記事を読んだ方は以下の記事もオススメ!
▶Microsoft 365,Google Workspaceと連携するメールセキュリティActive! gate SSを解説!