PPAPとは?問題点や対策方法について解説
「PPAPの対策や、PPAPに代わるファイル送信の方法はある?」
「PPAPは危険と聞いたけれど、どこが問題なの?」
などとお悩みではありませんか。
メールでのファイル送信手段として、長らく主流だったPPAP。しかし、PPAPはセキュリティ上の不安が大きく、昨今では安全性が疑問視されています。実際、日本の中央省庁でも2020年11月にPPAPを廃止する旨が発表されました。
この記事では、PPAPの危険性や対策方法を解説します。よりセキュアな方法でファイルを送受信するためのアイデアを紹介するので、現在PPAPを利用している人はぜひご覧ください。
1.PPAPとは
PPAPとは、パスワード付きZIPファイルをメールで送り、別メールでパスワードを送る方法です。メールでやり取りをする際の以下の頭文字を取って「PPAP」と表現しています。
- パスワード付きファイルを送る(P)
- パスワードを送る(P)
- 暗号化をする(A)
- プロトコル(P)
PPAPがここまで広まった背景には、2005年の個人情報保護法施行に伴うプライバシーマーク(Pマーク)取得の波にあります。Pマークの取得にあたり、多くの企業やPマーク取得コンサルタントは、総務省が運用するガイドラインの下記文言を参考にしました。
「電子メール等により機密性2以上の情報を送信する者は、必要に応じ、パスワード等による暗号化を行わなければならない。」[注1]
上記を見て、企業やコンサルタントは「メールで情報を送る際はパスワードをかけ、別メールでパスワードを送ればよい」と解釈します。しかし、ガイドラインには「パスワードはメール以外の方法で送ること」などの内容も含まれており、一部の重要な情報が見落とされていました。
このような認識の相違から生まれたのがPPAPであり、Pマーク取得の波と相まって広まる結果となったのです。
[注1]総務省「地方公共団体における情報セキュリティポリシーに関するガイドライン」
https://www.soumu.go.jp/main_content/000805453.pdf
2.PPAPの問題点
PPAPはそもそも誤った認識に基づいて生まれた手法のため、セキュリティ面でいくつかのリスクをはらんでいます。では、具体的にどのような危険性があるのでしょうか。
PPAPの問題点には、以下の3つが挙げられます。
- 効果的なセキュリティ対策になっていない
- ZIPファイル内のウイルスチェックができない
- アナログで非効率的
それぞれ詳しく見ていきましょう。
2-1 効果的なセキュリティ対策になっていない
PPAPで最も期待されているであろうメールの盗聴対策については、残念ながら効果があまりありません。1通目も2通目も同じ通信経路を通るためです。つまり、この通信経路を攻撃されれば、2通に分けて送ったとしても中身は筒抜けです。
ZIPファイルの性質にも問題があります。パスワードを一定回数間違えるとロックがかかるのが通常ですが、ZIPファイルは何回パスワードを間違えてもロックされません。
これは総当たり攻撃ができることを意味しており、安全性が低い理由の一つと言えます。
2-2 ZIPファイル内のウイルスチェックができない
多くのウイルス対策ソフトは、ZIPファイルの中身まではチェックできません。そのため、ZIPファイルにマルウェアが仕込まれていた場合、ウイルスチェックをすり抜けて相手に届いてしまいます。
2019〜2020年に流行したマルウェア「Emotet」は、PPAPを逆手に取った手口で広まりました。Emotetとは、それが埋め込まれたファイルを開くと、メールアカウントやパスワードなどの個人情報を抜き取られてしまうマルウェアです。
取引先を装い、PPAPと同じ要領で相手にメールを送信し、違和感を抱かせることなく解凍させるのがEmotetの手口の一つです。まさにPPAPの弱点を突いた手口と言えます。
2-3 アナログで非効率的
PPAPは1つのファイルを送信するのにメールを2通に分けなければならず、効率的な方法ではありません。1回1回のファイルの解凍はすぐに終わるかもしれませんが、2通目を確認する一手間が積み重なると大きな無駄となります。
また、送り手が宛先を間違えると、情報漏洩のリスクがあります。送り手がパスワードの送付を忘れた際には受け手が催促しなければならず、その間はファイルを閲覧できず業務もストップするでしょう。
約20年前に生み出された運用であるPPAPには、現在の働き方と相容れない部分が多くあるのです。
3.PPAPの代替案・対策方法
PPAPに代わるファイル送信方法は、以下の通りです。
- クラウドストレージを使う
- チャットツールでファイルを送受信する
- ファイル転送サービスを使う
それぞれ詳しく解説します。
3-1 クラウドストレージを使う
Google DriveやDropboxのようなクラウドストレージサービスは、ファイルを簡単かつ安全に共有するのにおすすめです。各ファイルやフォルダに対してアクセス権を設定できるため、ZIPファイルのパスコード解析やメールの盗聴リスクへの対策となります。
いつでもどこでもファイルにアクセスできるため、専用のアプリがないとZIPファイルを開けないスマホからのアクセスも容易です。ランニングコストやセキュリティレベルはサービスによって異なりますが、有料サービスの方が安全性は高い傾向にあります。
3-2 チャットツールでファイルを送受信する
ChatworkやSlack、LINE WORKSなどのチャットツールでファイルを送る方法もあります。PPAPの弱点であるメールの盗聴や非効率性を解消でき、スムーズにやり取りができる方法です。
ただし、スピーディなやり取りが可能になる一方で、手軽さゆえの誤送信のリスクがあります。また、社外の人とファイルを共有する場合は、双方ともに同じツールに登録していることが前提です。主に社内での運用に適しているでしょう。
3-3 ファイル転送サービスを使う
ファイル転送サービスは気軽に導入できて、PPAPの対策ができる方法です。ファイル転送サービスとは、サーバー上にファイルをアップロードし、相手にダウンロードリンクを送付して共有するサービスです。
ファイル転送サービスでは、まずメールの盗聴リスクに対処できます。また、ファイルの削除も可能なため、誤送信のリスクにも対応できるのもポイントです。
自動暗号化や権限設定、自動削除機能などセキュリティ対策に力を入れているサービスが多いため、PPAPに代わる方法としておすすめです。
4.まとめ
PPAPはメールの盗聴や非効率性などの理由から、有用性が疑問視されています。日本では、2020年に中央省庁がPPAPの使用を廃止しました。PPAPの対策としては、クラウドストレージやチャットツール、ファイル転送サービスの利用が挙げられます。
安全にファイルを送信する方法を探しているなら、EASY FILE EXPRESSがおすすめです。EASY FILE EXPRESSは、企業間の大容量ファイル転送に特化したサービスです。
非常にシンプルな操作画面になっており、導入後のマニュアル配布や社員教育は不要。初期費用なしで月額3,000円(税抜)から導入でき、低コストで脱PPAPの実現が可能です。セキュリティについても、通信経路暗号化や定期的な脆弱性診断を実施、誤送信対策として送信後キャンセル機能を備えている点など安全性の高いサービスを実現しています。