PPAPは安全にファイルを共有するためのセキュリティ対策として広く用いられてきました。しかし近年、PPAPには多くのセキュリティリスクがあるとの認識が広まり、脱PPAPが進んでいます。本記事では、脱PPAPの基本から推進するメリット、推進しないことによるリスク、そしてPPAPの具体的な代替案までを網羅的にご紹介します。
ページコンテンツ
脱PPAPとは
脱PPAPとは、メール送受信におけるセキュリティ対策の1つであるPPAPの手法を使用しない取り組みのことを指します。PPAPは、パスワード付きZIPファイルを送付し、その後別メールで開封用パスワードを追送する方法であり、以下4つの頭文字をとってPPAPと呼ばれています。
「P」assword付きZIP暗号化ファイルを送る
「P」asswordを送る
「A」ん号化(暗号化)する
「P」rotocol(プロトコル=手順)
PPAPは、簡単に実施できるため、日本におけるセキュリティ対策の定番として多くの企業で用いられてきました。しかし、近年ではPPAPを使用しないようにする「脱PPAP」の動きが活発化しています。
脱PPAPの動きが活発化したきっかけ
脱PPAPの動きが広まったきっかけは、2020年11月に平井元デジタル改革担当大臣が、内閣府および内閣官房におけるPPAPの廃止方針を表明したことにあります。会見では、「セキュリティ対策や受け取り側の利便性の観点から、PPAPは適切ではない」との発表がなされました。
また、文部科学省も2022年1月4日以降、すべてのメール送受信においてPPAPを廃止し、現在はオンラインストレージを活用しています。こうした官公庁の動きを受け、PPAPの廃止を表明する大手企業も多くいました。
出所:「平井内閣府特命担当大臣記者会見要旨 令和2年11月24日」(内閣府)
なぜPPAPが問題なのか
セキュリティ対策の1つとされているPPAPですが、以下の理由から、かえって情報漏えいやウィルス感染のリスクにさらされてしまうという問題点があります。
・ZIPファイルとパスワードは別メールで送付されるが、送信経路は同じである
・ZIPファイルが暗号化されると、ウィルスチェックが行えない
PPAPでは、暗号化されたZIPファイルとそのパスワードを別々のメールに分けて送付しますが、ネットワークが傍受された場合、2通のメールどちらも盗み見されてしまいます。メールを誤送信してしまった場合も、パスワードが解読され、保護した情報が簡単に流出してしまいます。
また、ZIPファイルが暗号化されている場合、セキュリティ製品ではウィルスチェックを行うことができません。そのため、ウィルスが侵入したファイルが届いたとしても、受信者が気付かずに開封してしまう恐れがあります。
PPAPを使うことで発生するセキュリティ被害については、以下の記事で詳しく解説しています。
このように、PPAPは情報漏えいやウィルス感染といったセキュリティリスクをはらんでいます。すでにPPAPは意味のないセキュリティ対策だと広く認識されているため、取引先からの印象を悪くしないためにも、活用を続けている企業は見直しを行い、脱PPAPを進めていくことが重要です。
脱PPAPのメリット
それでは、実際に脱PPAPを進めるとどのような効果があるのでしょうか。ここでは、脱PPAPによるメリットを説明します。
セキュリティ環境の向上
暗号化されたZIPファイルの送受信を取り止めることで、セキュリティ製品が危険なウィルスを見逃すリスクを軽減できます。マルウェアやランサムウェアへの感染リスクを回避できるため、メールを送受信する自社と取引先双方のセキュリティ環境の改善・向上が見込めます。
メール送受信の効率化
メール送信者側は、ファイル圧縮やパスワード設定、ファイル・パスワード用のメール作成といった作業を行う必要がなくなります。また、方法によっては受信者側も2通のメール確認や、ファイル解凍処理が不要になります。そのため、両者で行っていた面倒な作業を削減し、作業を効率化することができます。
脱PPAPを行うことで、以上のようなメリットが期待できます。
PPAPを続けることで起こりうるリスク
PPAPの活用を続けていると、情報漏えいやウィルス感染のリスクを、自社だけでなく取引先企業でも負い続けることになります。そのため、取引先企業の担当者の不安を引き起こしたり印象が悪くなったりし、信用が損なわれる可能性があります。
PPAPは手軽に利用できるセキュリティ対策でしたが、長期的な目線に立つと悪影響を及ぼすリスクが高いといえます。したがって、代替策への移行を進め、脱PPAPを実現していくことが企業には求められています。
実は間違い!?脱PPAPのために多くの企業がやりがちな代替案
先述したように、政府の動きを契機にPPAPの代替案を講じている企業が増えています。
そうした企業では、PPAPの代わりにファイルを暗号化しないで送付する、ダウンロードリンクを作成してメールに記載し送信するといった代替案を実施しています。
しかし、これらの方法には、メールを盗み見されてしまった場合は意味を成さず、かつZIPファイルの脆弱性を防ぐことにはつながらないという問題点があります。また、PPAPの時よりも運用に手間がかかるため、代替案としてはあまり適していません。
では、PPAPの代替案にはどのような方法を採用すれば良いのでしょうか。次章ではPPAPの代替案を考える際に前提となる2つのポイントをご紹介します。
PPAPの代替案を検討する際の2つのポイント
ポイント1:セキュリティの安全性と利便性の両立
PPAPの代替案を検討するうえで重要なポイントの1つに、「セキュリティの安全性と利便性の両立」が挙げられます。
まず、PPAPの代替案にはPPAPに潜んでいるセキュリティリスクへの対策ができ、安全性が担保されていることが重要です。具体的には、誤送信といったヒューマンエラーの可能性が低いことや、情報を紛失しづらいこと、資料の作業履歴が残ること、データが暗号化されること、閲覧権限を設定できることなどです。
しかし、安全性が担保されていても利便性が低いセキュリティ対策であった場合、「使い方がわからない」「PPAPの方が使いやすい」「扱いが面倒」などの意見が上がり、浸透しない恐れがあります。そのため、例えばPPAPと同等かそれよりも少ない作業量でデータの受送信ができる、メールへの添付が可能であるなど、利用者の利便性を損なわないような方法であることも重要です。
つまり、PPAP代替案を検討する際は安全性と利便性を両立することがポイントです。
そのため、セキュリティの安全性と利便性の両立は自社だけではなく、ファイルのやりとりを行う取引先の条件も踏まえることが大切です。
ポイント2:社員への危険性の周知と運用ルールの策定
2つ目は「社員への危険性の周知と運用ルールの策定」です。
どれだけ安全で利便性の高いセキュリティ対策を導入しても、正しく運用できなければ効果は十分に発揮されません。そのため、全社員に対し研修を実施し、社内のセキュリティ意識を向上させることが重要です。そのうえで、社内ルールを策定し運用することが本当のPPAPの代替策と言えます。
PPAPの代替案4選
ここからは、実際に脱PPAPに有効な代替案を4つご紹介します。
代替案1:ファイルとパスワードを異なる通信経路で送る
暗号化したZIPファイルとパスワードを異なる通信経路で送ることで、第三者が情報を傍受するリスクを下げることができます。ZIPファイルをチャットで送付し、パスワードはメールや電話で伝えるなどの方法をとることで、悪意ある人物が一度に2つの情報を盗み取ることが難しくなります。
この方法は、すぐに実践しやすいPPAPの代替案といえますが、PPAPと同様に送受信者双方に手間がかかったり、ZIPファイルのみをメールで送信する場合は受信者側でウィルス感染のリスクがあったりするため注意が必要です。
代替案2:ファイル転送サービスを利用する
ファイル転送サービスは、特定のサイトにファイルをアップロードしたうえで、発行されるダウンロードリンクを相手に送付するだけでファイルを共有できる方法です。
会員登録が不要で無料で利用できるサービスも多く、手軽に利用できることが特徴ですが、データの盗聴といったセキュリティリスクが伴います。そこで、最低限のセキュリティリスクを回避するために通信内容が暗号化されるサービスを選定することが重要です。
代替案3:ZIP以外の暗号化・メール暗号化
PPAPで用いられるZIP以外の形式で暗号化を行う方法も、PPAPの代替案になり得ます。
例えば、OfficeやPDFなどのアプリケーションの標準機能である暗号化機能や、送信側によるメールの暗号化「S/MIME」を用いる方法があります。
代替案4:オンラインストレージを利用する
オンラインストレージは、ユーザーやグループが管理されたオンラインのストレージ上にファイルをアップし、共有URLを共有先に送信してダウンロードしてもらう方法です。この方法では、PPAPよりも安全かつ便利にファイルをやりとりすることができます。
メールでファイルを添付する際には容量に上限が設けられているケースが多く、大容量のファイルをやりとりすることはできません。しかし、オンラインストレージであれば大容量かつ複数のファイルを長期間共有できます。また、ファイルを共有する際のURLを違う宛先に誤送信してしまった際にも、URLの無効化ができるためヒューマンエラー発生時のリスクヘッジも可能です。
以上4つの代替案の特徴を踏まえ、まずはどのような機能を備えたツール・サービスが自社に適しているかを検討していくことが大切です。
大興電子通信が紹介するPPAP代替ソリューション
これまでにご紹介した脱PPAPを進める際に押さえておきたいポイントや具体的な代替案を考慮して、以下では安全性と利便性を兼ね備えた2つのPPAP代替ソリューションについてご紹介します。
HENNGE E-Mail Security Edition
HENNGE E-Mail Security Editionは代表的なクラウドメールのMicrosoft365やGoogle Workspaceと連携可能なメールセキュリティです。
送付者は普段通りメールにファイルを添付するだけで、自動的にファイルがクラウドにアップロードされ、受信者にはメールとダウンロード用のURLが記載されたPDFファイルが届きます。メール送信時は、別経路からダウンロード用のパスワードが届けられるため、利便性とセキュリティ向上が図れることが特徴です。
また、万が一添付ファイルを誤って送付してしまった場合も、送付後にURLを無効化することができるため、誤送信による情報漏えいリスクを低減できます。
Box
「Box」は世界中の9万社で利用されている法人向けファイル共有サービスです。
Boxは単なるオンラインストレージではなく、クラウド上のコンテンツの管理・共有・コラボレーションの利活用を促進し、業務の効率化や労働時間の短縮など、ワークスタイル変革を実現できます。
上記ソリューションの詳細は以下リンクにてご紹介しています。PPAPの代替案を検討されている方はぜひご覧ください。