PPAPを禁止する動きは、政府から企業にいたるまで広がりをみせています。その理由はPPAPの脆弱性です。このような動きの中で、PPAPの問題点や代替手段に悩んでいるシステム管理者も多いのではないでしょうか。

本コラムでは、PPAPとはなんなのか、その問題点や各企業の動きをおさらいしながら、PPAPの代替案までを解説します。

PPAPとは

PPAPとは、いわゆるパスワード付きzipファイルを使ったファイル共有手段のことです。「PPAP」という用語は、それぞれ以下の頭文字を表しています。

• P：Passwordつきzip暗号化ファイルを送ります
• P：Passwordを送ります
• A：Aん号化（暗号化）
• P：Protocol

出典：「JIPDEC（じぷでっく）|くたばれPPAP！～メールにファイルを添付する習慣を変えるところから始める働き方改革」
(https://www.jaipa.or.jp/event/isp_mtg/asahikawa_190912-13/190913-3.pdf)

これまで、セキュアなファイル共有手段として多くの企業で利用されてきた「パスワード付きzipファイルをメールでやり取りすること」だと理解して問題ありません。

PPAPの問題点

それでは、PPAPの問題点をみていきましょう。

メールが盗聴される可能性

PPAPでは、メールが盗聴される可能性があります。なぜなら、zipファイルとパスワードを添付したメールは、同じネットワーク（通信経路）を通って送受信されるからです。

同じルートを通るということは、zipファイルとパスワードが同時に盗聴される可能性が高まるということです。例えば、ネットワークに設置されているルーターAが監視されている場合、zipファイルを添付したメールもパスワードを記載したメールも、ルーターAを通過するときに盗聴されてしまうのです。

これでは、zipファイルとパスワードを分けて送信する意味はありません。つまり、PPAPはセキュリティとして脆弱だということなのです。

情報漏えいの可能性

zipファイルとパスワードのメールが盗聴されてしまうと、情報漏えいにつながります。

もちろん、メールの通信経路が暗号化されていたり、zipファイルのパスワードに10桁以上の複雑なものを設定していたりするなどの工夫をしている企業が大半でしょう。

しかし、メールはさまざまなサーバーを経由しながら送受信が実現します。この間、すべての経路が暗号化されていないと情報セキュリティ対策として意味を成しません。また、桁数の多い複雑なパスワードを設定していても、パスワードを記載したメールが同時に盗聴されてしまえば、簡単に情報は漏えいしてしまいます。

パスワード付きzipファイルの送受信の仕組みを含めたPPAPの脆弱性については、「パスワード付きzipファイルはセキュリティ対策にならない？今すぐ利用をやめるべき理由と代替手段」でも詳しく解説していますので、併せて参考にしてください。

PPAPはウイルスチェックができない可能性がある

パスワード付きのzipファイルは、セキュリティソフトでのウイルスチェックができない可能性もあります。

セキュリティソフトの種類にもよりますが、パスワードがかかっているファイルのウイルスチェックがスキップされてしまうのです。その結果、zipファイルを解凍したパソコンがマルウェアに感染するといった危険性があります。

例えば、受信したパスワード付きzipファイルが、業務で使われる正規のメールを装う攻撃メールの「Emotet（エモテット）」に感染していても、受信側のセキュリティソフトでウイルスチェックができなければ、zipファイルを解凍した際に感染してしまいます。この場合、PPAPはマルウェアの隠れ蓑として利用されてしまうのです。

出典：「IPA|Emotet（エモテット）関連情報」(https://www.ipa.go.jp/security/emotet/index.html#L13)

PPAPに対する政府・企業の動き

PPAPに対しては、日本政府や各企業にも動きがでてきています。ここでは、それぞれの動向をチェックしておきましょう。

PPAPを廃止した政府

2020年11月に、デジタル改革担当大臣がPPAPの利用をやめる方針を発表しました。中央省庁において「パスワード付きzipファイルを使った文書のメールでのやり取りを廃止する方針」を打ち出したのです。

この発表は、企業が「PPAPを廃止する動きを」加速させています。

日立の事例

ITベンダーの日立製作所でもPPAPを禁止する方針であることがわかりました。

日立製作所では、2021年から電子メールへの「暗号化ファイル添付を禁止」しています。また、日立ソリューションズが提供する「秘文」シリーズの添付ファイルの自動暗号化ツールに関しては、すでに2017年に販売終了しているなど、早々にPPAPへの対策を進めていたことがわかります。

出典：「日経XTECH|日立がPPAP全面禁止へ、「秘文」の添付ファイル自動暗号化ツールも既に販売終了」
(https://xtech.nikkei.com/atcl/nxt/column/18/00001/05086/)

freeeの事例

クラウド会計ソフトのサービスを提供するfreeeもまた、2020年12月からPPAPの禁止に舵を取りました。

“

freee株式会社は、2020年12月1日（火）から、原則としてメールによるパスワード付きファイルの受信を廃止させていただきます。パートナー及びお取引先の皆様にはご理解とご協力のほどよろしくお願いいたします。

“

出典：「freee|メールによるパスワード付きファイルの受信を廃止」(https://corp.freee.co.jp/news/filepassword_abolished.html）

パスワード付きファイルはメール受信時にマルウェア検査ができない可能性があることや、PPAPがマルウェアの拡散を助長する可能性があるとして、パートナー企業や取引先に対してもPPAPの利用を控えてもらうよう周知を行っています。

PPAPの代替案はクラウドストレージの活用

これまで、PPAPを主要なファイル共有方法として運用してきた企業は、今後どのような代替手段を使うべきなのでしょうか。それは、クラウドストレージの利用です。

クラウドストレージならば、企業のビジネス利用を前提に運用されているサービスも多く、セキュリティ面はもちろん操作性などにも配慮されています。機能の一例としては、アクセス権限などを制御できたり、クラウド上でファイルを共同編集できたりと、セキュリティと利便性を兼ね備えていることが挙げられます。また、ファイルの自動バックアップなども備えており、PPAPよりもセキュアにファイル共有ができることが特徴だといえます。

ビジネス用途を前提に提供されているサービスは多数存在するため、自社の用途やコストに合わせて選定しましょう。

なお、クラウドストレージについては、「クラウドストレージとは？企業でクラウドストレージを利用するメリットや選定ポイントを解説」で詳しく解説していますので、併せて参考にしてください。

まとめ

PPAPは、ファイル共有方法の中でも脆弱性が指摘されているものです。省庁や大手企業でもPPAP禁止の動きが活発化しています。企業文化としてなかなかPPAPを廃止できないという事情もあるかもしれませんが、情報漏えいが起こってからでは取り返しがつきません。早い段階でクラウドストレージなどの代替手段を選定し、業務のインフラ整備を進めておきましょう。

関連サービス

資料ダウンロード

関連するコラム

• コラムをもっと読む