添付ファイルをメールで安全に送信するために「PPAP」を使っている方は多いのではないでしょうか。設定の手軽さから多くの企業で使われていますが、なぜPPAPが導入されたのかを知らない方も多いでしょう。
そこで本記事では、PPAPが導入された背景と現代の状況についてご紹介します。
PPAPが抱える問題点と代替案も解説するので、メールセキュリティ対策時の参考にしてください。
目次
PPAPでデータの安全性を確保する仕組み
PPAPは、パスワード付きのZIPファイルを送ると同時に、別のメールでパスワードを送信する手法です。PPAPのメール送信は、以下の3工程が主流です。
- 【送信者】ZIPファイルを暗号化する
- 【送信者】ZIPファイルを添付したメール、パスワードを記入したメールを別々に送信する
- 【受信者】メールをもとにパスワードを使ってZIPファイルを解凍する
パスワードが設定されたZIPファイルとパスワードを2つに分けて送り、セキュリティ対策を行うのが特徴です。これにより、ZIPファイルを第三者に解凍されにくくなります。
結論として、この作業は、安全そうに見えながらもあまりセキュリティ対策になっていません。詳しくは後述する「ウイルス感染拡大の問題があると廃止の動きへ」で解説します。
PPAPが導入された歴史と今
そもそも、なぜPPAPが登場するに至ったのでしょうか。続いて、PPAPが導入された歴史と現代の動きについてご紹介します。
メールの盗み見・誤送信の対策として登場
メールにファイルを添付する場合、本文と一緒に送信します。その際に、パスワードを設定しても本文中に記載してしまうと、メール自体を盗み見されてしまえばセキュリティ対策になりません。
また、メールを誤送信してしまうと、第三者にパスワード付きのZIPファイルを解凍されてしまいます。特に、重要なデータを送る場合に情報漏洩に直結します。
PPAPは、そういったメールの盗み見・誤送信の対策として、日本情報経済社会推進協会からの問題提起によってノウハウが知られるようになりました。
現代では、行政や企業を含む数多くの団体がPPAPを導入し、添付メールのセキュリティ対策として利用しています。
ウイルス感染拡大の問題があると廃止の動きへ
一見、安全なセキュリティだと思われるPPAPですが、実は添付メールを危険に晒していると多くの批判を受けています。特に問題視されているのが、ウイルスに感染した添付ファイルを自動検出する「マルウェアフィルター」をZIPファイルが潜り抜けてしまうことです。
PPAPは日本中で利用されていることから、受信者は警戒することなく暗号化したZIPファイルを解凍します。その結果、企業内にウイルスが入り込み、次々と感染を拡大させていきます。
この問題は長期化し、2020年11月には内閣府からの発表により、PPAPの廃止が明言されました。現代では廃止の動きが着実に進行し、大手企業である日立製作所や国内のベンチャー企業を筆頭に、脱PPAPの動きが加速しています。
PPAPに懸念される3つの問題点
ウイルス感染の拡大以外に、PPAPには懸念される問題点が3つあります。大きな問題に発展する可能性があるため、今後のセキュリティ対策の参考にしてください。
アカウント情報がバレると筒抜けになる
PPAPは暗号化したZIPファイルとパスワードを別々に送信することで、第三者がZIPファイルを解凍できないように対策する仕組みです。
しかし、アカウント情報自体を盗まれてしまえば、メール送信履歴がすべて筒抜けとなってしまいます。情報が筒抜けになってしまえば、バラバラに送ったメール自体を盗み見されてしまうでしょう。
企業の重要な情報を扱うためにPPAPを利用しても、簡単に情報を抜き出されてしまうため、廃止の動きが強まっているのです。
自動送信により誤送信対策ができない
PPAPを導入する企業の多くは、パスワード設定や送信の二度手間を回避するために、システムを自動化しています。例えば、送信先の情報を入力することによって、自動で2通のメールを送信できるのが特徴です。
しかし、自動送信の便利さがある一方で、誤送信時に対応できないという落とし穴があります。一度送信してしまえば、手遅れの状態となってしまうことから、セキュリティ対策としての効果を発揮できません。
送信者のセキュリティリテラシーに依存するため、PPAPに対する批判が寄せられる結果となりました。
システムがスマートフォンに対応していない
近年では、PCだけに依存せずスマートフォンといったモバイル端末を利用して仕事を行うユーザーが登場しています。外出時におけるメールのやり取りに関しても、スマートフォンで行う人が増えている状況です。
しかし、PPAPはPCだけでしか利用できません。システム自体がスマートフォンに対応していないことから、セキュリティ対策の効果を発揮できないのです。
PPAPの代わりとして役立つ3つの代替案
メールセキュリティを強化するためにも、廃止の動きが進んでいるPPAPから別の方法へ転換することが大切です。
最後に、PPAPの代わりに利用でき、かつセキュリティ対策としても効果を発揮する3つの代替案をご紹介します。安全なデータのやり取りを実現するために、ぜひ参考にしてください。
オンラインストレージサービス
クラウドを利用したオンラインストレージサービスは、共有対象を自由に設定できるため、PPAPの代替として利用できます。例えば、次のオンラインストレージサービスを利用してみてはいかがでしょうか。
- Googleドライブ
- Dropbox
- OneDrive
上記サービスは基本的に無料で利用できるうえに、サービス内のセキュリティを利用して安全にデータの共有を行えます。また、データの操作履歴なども確認できることから、操作状況確認にも効果的です。
ファイル送信サービス
ファイル送信サービスは、Webサービスのファイルストレージにデータを保管して、URLを送信するメールサービスのことです。主のようなサービスが提供されています。
- GigaFile便
- Firestorage
- データ便
データ自体にパスワードを設定できることはもちろん、保管期間を設定できるため、自動削除にも対応できます。ZIPファイル自体を送信することによるマルウェアのすり抜け問題を回避できることから、送受信者間で安全にデータをやり取りできるのが特徴です。
ビジネスチャット
ビジネスチャットとは、次のような専用チャットツールです。
- Chatwork
- Slack
ビジネスチャットでは、事前にアカウントを承認したうえで連絡やデータのやり取りを実施します。第三者に入り込む隙を与えずにデータを送受信できることから、安全かつスピーディーなやり取りを実現できます。
また、PC・スマートフォンなどデバイスを問わず利用できることから、外出時やテレワーク時にも、スムーズにデータを確認できるのが魅力です。
安全にデータ共有を行うためにPPAPから脱却しよう
多くの企業が利用するPPAPですが、実際にはあまりセキュリティ対策の効果がありません。むしろ、ウイルス感染しやすいプロトコルであり、内閣府からも廃止が呼びかけられています。
現在、PPAPを導入して添付メールのやり取りを行っている企業があるのなら、将来的に発生する問題を回避するためにも、今のうちに代替案への乗り換えを検討してみてはいかがでしょうか。
各サービスの多くは、基本的に無料で利用できます。試行期間を設けつつ導入を検討して、自社に合ったサービスを選定してください。
