2020年11 月、政府の平井卓也デジタル改革相(当時)は、「PPAPによるzipメール添付」の慣習を、セキュリティ上の観点から内閣府で廃止する方針を明らかにしました。
でもいったい、PPAPとは何のことを指すのでしょうか? そしてなぜ廃止されることになったのでしょうか? この記事では、PPAPの概要や問題点、代わりとなる安全な代替手段などをご紹介します。
クラウドバックアップについて知りたい方はこちら
目次
PPAPとは?何の略称?
PPAPで「zip暗号化」するのは日本だけ?海外の事情
PPAPの慣習はなぜ広がった?
PPAPはなぜ危険?政府で廃止になる理由とは
PPAPの代わりは?「パスワード付きzipをメール添付」の代替手段
使えるファイル箱なら安心のセキュリティ
PPAPとは?何の略称?
セキュリティにおけるPPAPとは、「ファイルを暗号化zip(パスワード付きzip)にしてメールに添付・送信し、あとから別のメールで解凍するためのパスワードを伝えること」を指します。セキュリティ対策の一環として、日本では政府機関のみならず多くの企業・組織で使われている手法です。
PPAPという略称はITコンサルタントの大泰司氏が命名したもので、以下の頭文字をとって名付けられました(*1)。
● P:パスワード付きzipファイルを送信
● P:パスワードを別途送信
● A:暗号化
● P:プロトコル
PPAPで「zip暗号化」するのは日本だけ?海外の事情
PPAPは日本企業では一般的なセキュリティ対策ですが、じつは海外ではほとんど見られません。海外ではパスワード付きzipファイルはむしろ怪しまれ、ウイルスの可能性を疑われる傾向にあります。どうやらPPAPは、日本独自の発展を遂げたビジネス慣習のひとつであるようです。
PPAPの慣習はなぜ広がった?
PPAPの手法は日本企業で広く使われており、「会社のセキュリティポリシーで決められている」というケースすら少なくありません。
この慣習の起源を辿っていくと、どうやらEメールがビジネスで利用されるようになりはじめた初期の頃、「パスワード付きzipで暗号化したファイルをEメールで送信し、その後別のチャネル(FAXや紙の文書など)でパスワードを伝える」という方法がセキュリティ対策として編み出されたところまで遡るようです。
上記の方法は、プライバシーマーク認証取得にあたっての審査でも有用と認められたことから、国内で一気に広がっていきます。しかしFAXや紙を使うのは煩雑なので、徐々に「パスワードもメールで送ればいい」ということになり、手法が簡略化。そのまま現在に至るまで、PPAPの慣習が残ってしまいました。
PPAPはなぜ危険?政府で廃止になる理由とは
記事冒頭で触れた通り、この PPAPの慣習は、内閣府において廃止されることが決定しました(*2)。これを受けて、プライバシーマーク制度を運用する一般財団法人日本情報経済社会推進協会(JIPDEC)もPPAP非推奨の姿勢を公式に表明しています(*3)。
しかしなぜPPAPは危険だとされ、廃止の流れが強まっているのでしょうか? その理由を5つ紹介します。
▼暗号化zipとパスワードを個別にメール送信しても意味がない
そもそも、パスワード付きzipファイルと、解凍のためのパスワード情報を別々のメールで送ることにはほとんど意味がありません。個別に送っても同一経路を使用しているわけですから、たとえばハッカーが最初の「添付ファイル付きメール」を受信できたならば、次に送られてくる「パスワードが書かれたメール」も難なく受信できるはずだからです。
▼セキュリティ対策ソフトが添付ファイルのウイルスを検知できない
現在、多くのセキュリティ対策ソフトは、メールの添付ファイルを自動スキャンしてウイルスチェックしてくれるようになっています。しかし添付ファイルがzipで暗号化されていると、セキュリティ対策ソフトは中身をチェックすることができません。つまりそのファイルにウイルスが混入していたとしても検知されずにそのまま受信トレイに届いてしまうのです。
▼パスワード付きzipファイルの暗号化は不正に突破されるリスクが高い
暗号化zipファイルのパスワードは比較的容易に解読されてしまうと言われています。ウェブサイトのログインなどとは違い、暗号化zipファイルは何度でも制限なくパスワードの入力を試行できるので、サイバー犯罪者にとっては突破しやすいのです。
▼メールは盗聴(盗み見)される恐れがある
電子メールは、こちらが送信してから相手が受信するまで、複数のメールサーバを経由することになります。そのあいだにどこかひとつでも適切な暗号化がなされていない箇所があれば、攻撃者は容易に内容を盗聴できてしまいます。そのため、パスワードをメールに平文で記載することには、大きな危険性が伴うのです。
▼無駄な対策で仕事の効率が低下
ここまで見てきたように、「添付ファイルをパスワード付きzipにして、それからパスワードを別のメールで送信」というPPAPの取り組みはほぼ無意味です。しかしその割に「ファイルをzipに圧縮して暗号化」「メールを2度送信」といった手間がかかるので、PPAPの継続は生産性低下の一因となってしまいます。
ランサムウェアについて知りたい方はこちら
PPAPの代わりは?「パスワード付きzipをメール添付」の代替手段
それでは、ビジネスでファイルを安全に送受信するにはどうすればいいのでしょうか。PPAPの代わりとなる、セキュアな代替手段について解説します。
▼クラウドストレージの利用がもっとも安全な対策
PPAPの代替手段としてもっとも安全だとされ、実際に一番よく利用されているのは、クラウドストレージを使ってファイルを送受信する方法です。クラウドストレージを活用する場合、具体的には、以下のような順序でファイルを共有することになります。
今回は弊社のクラウドファイル共有サービス「使えるファイル箱」(クライアント版)を例に挙げてご説明します。
「使えるファイル箱」のデスクトップクライアントをインストールすることで、使い慣れたエクスプローラー形式で簡単にファイルの共有が可能となります。
1. 共有したいファイル名を右クリックして「パブリックリンクを作成」を選択します。
2. 表示されたポップアップ画面で直接パスワードを入力することができます。
作成したリンクを相手に伝えるだけで、簡単にパスワード付きのファイルを共有することができます。
尚、上述したセキュリティ面から、作成した共有リンクとパスワードは別々の媒体で相手先に伝えることが重要です。
例えば、作成したパブリックリンクをEメールで送信した場合は、パスワードはチャットシステムなどのツールで送るなどが考えられます。
クラウドストレージによるURLでのファイル共有機能を使えば、PPAPが抱える問題点はすべて解決します。送信するたびにファイルを暗号化したり、メールを何度も送信したりする手間も必要ありません。
▼2FA(2要素認証)設定でさらにセキュリティ向上
なりすましや不正ログインを防ぐためのセキュリティ対策として、近年2要素認証の導入が進んでいます。これまではログインの際に「ID+パスワード」で認証するのみでしたが、さらにもう一段階の認証を加えて本人確認のステップを強化するというものです。
使えるファイル箱でも、もちろんこの2要素認証機能をご利用いただけます。
設定画面のセキュリティ→2要素認証を選択し、方式を「メールアドレス」または「アプリ」から選択するだけなのでとても簡単です。
メールアドレスによる認証を選択した場合は、
ログインを試行すると、登録されているメールアドレス宛に認証コードが届きます。
使えるファイル箱なら安心のセキュリティ
利用するクラウドストレージを選ぶときは、もちろんセキュリティ対策がしっかりしたサービスを見極めるのが非常に大切。そこでおすすめしたいのが、先ほどもご紹介した使えるねっとのクラウドストレージ「使えるファイル箱」です。
使えるファイル箱は国内の自社サーバで運用され、共有リンクの有効期限設定やデバイスデータの遠隔削除も可能な、セキュリティ万全のクラウドストレージ。即日導入可能な手軽さや、初心者でも使いやすい簡単な操作性、低価格でシンプルな料金体系なども好評です。
30日間の無料トライアル(完全無料&本契約しなくてもOK!)もできますので、ぜひこの機会に一度お試しください。
「使えるファイル箱」のサービス詳細はこちら>>
お問い合わせフォームはこちら>>
<注釈>
*1:メールにファイルを添付する習慣を変えるところから始める働き方改革(PDF、一般財団法人日本情報経済社会推進協会)
*2:自動暗号化ZIPファイル廃止 内閣府と内閣官房 – デジタル相「不適切」(日本経済新聞)
*3:メール添付のファイル送信について(一般財団法人日本情報経済社会推進協会)
