セキュリティ

PPAPとは?脱PPAPが求められる理由や代替手段を解説!

重要なファイルを外部と共有する方法といえば、かつてはzipファイルをメールで送信した後にパスワードを別送する「PPAP」が主流でしたが、政府や大手IT企業の間ではこのPPAPを廃止する動きが広がっています。この記事では、脱PPAPが求められる背景や、PPAPの代替手段について解説します。

what-is-ppap-1
出典:クラウドセキュリティチャンネル
 

PPAPとは?

PPAPとは、パスワード付きのzipファイルをメールで送信し、そのパスワードを別送するセキュリティ対策です。主に社外の人とのファイル共有に利用されています。PPAPは日本で広まった造語で、パスワード付きzipファイルをメールで送る手順の頭文字を取ったものです。

具体的な手順は以下の通りです。

  1. P:Password付きzipファイルを送信
  2. P:Passwordを送信
  3. A:An号化(暗号化)
  4. P:Protocol (プロトコル:手順)

2016年当時に流行していたピコ太郎の楽曲「PPAP(ペンパイナッポーアッポーペン)」にかけられており、現在では広く使われています。

PPAPは、メールの盗聴防止と誤送信防止の手段として、10年以上前から政府や多くの民間企業で利用が推奨されてきました。しかし、実際にはセキュリティ強化の効果は低く、常に盗聴やウイルス感染による情報漏洩のリスクに晒されており、最近では官庁や大手企業、ベンチャー企業を中心に脱PPAPの動きが広まっています。

なぜPPAPが問題になっているのか

PPAPは最近になってセキュリティ上の欠点が頻繁に指摘されるようになりました。なぜPPAPが問題視されているのか、セキュリティ上のリスクを解説します。

メールを盗聴されるリスク

PPAPではzipファイルとパスワードを別々のメールで送ります。しかし、これだけではメールの盗聴を防げません。ファイルを添付したメールが届くまでの過程で悪意ある第三者の手に渡ってしまった場合、同じ経路で送られるパスワードも同様に知られるリスクがあります。これを避けるためには、ファイルを送りたい相手に電話をかけてパスワードを口頭で伝えるなど、メール以外の手段を利用する必要があります。

PPAPではファイルを誤送しても、パスワードを送る前に誤りに気付けばファイルは開封されません。このように、誤送信防止の効果もありますが、パスワードの自動送信が設定されていた場合はセキュリティ対策としての意味をなさなくなります。そもそもパスワードの別送が本当に誤送信の防止につながるのかといえば疑問が残ります。

Japan Anti-Abuse Working Group(JPAAWG)がメールでの暗号化ファイルの受送信の実態について尋ねたアンケート結果によると、「パスワードを送らないことで誤送信を防止できた経験があるか」との問いに対し、87%が「ない」と回答しているのです。また、よほど長く複雑でない限りパスワードは簡単に解析されてしまいます。そのため、悪意ある第三者にファイルの中身が流出するリスクは拭えません。

JPAAWG のzipパスワードの強度についての調査によると、解析に要する時間(理論値)は、6文字の英数字(全62種類)を使用した場合で2.8秒、同じ6文字でも小文字の英字(全26種類)のみの場合はわずか0.01秒しかかかりません。 なお、10文字の英数字を使用した場合の最大解析時間は1.3年です。この調査結果からいえば、ファイルの安全性を確保するには、少なくとも英数字を組み合わせた10文字以上のパスワードでなければ無意味になってしまうのです。

ウイルス感染のリスク

暗号化されたzipファイルは、開封しない限り中身の検査ができません。ウイルスやマルウェアが仕込まれていたとしてもウイルスチェックをすり抜けてしまい、解凍した際にウイルスに感染してしまいます。そのためファイル共有にzipファイルを使している企業は、サイバー攻撃の対象になりやすく、実際にパスワード付きzipファイルを通して「Emotet(エモテット)」というマルウェアに感染する被害が世界的に報告されています。

zipファイルでの共有が常態化していれば、リスクを考慮せずにファイルを開いてしまい、被害に遭う可能性も高まるでしょう。こうした脅威を回避すべく、最近ではパスワード付きのzipファイルが添付されているメールを受信しない、もしくは自動的に削除する仕組みを導入する企業が、ベンチャー企業を中心に増えてきています。

受信者側の生産性低下

zipファイルでの共有は、受信者の生産性を低下させます。別送のメールを開いてパスワードをコピペするなど、受信者の作業負担が大きくなるからです。

ファイルが添付されたメールとパスワード通知のメールは同じ件名のことも多いため、判別がややこしいという問題もあります。ほかにも、ファイルを開く度にパスワードを要求されたり、デスクトップに新たなフォルダが作成されてしまったりと何かと面倒です。また、zipファイルはスマホでは解凍できないこともあるため、出先での確認ができないといった不便が生じます。

脱PPAPが求められる理由

脱PPAPの必要性が広く認識されるようになったきっかけのひとつは、2020年11月に開かれた平井卓也デジタル改革担当大臣の定例会見です。平井大臣は内閣府の全職員に対し、外部と文書を共有する際にPPAPの利用を廃止する方針を発表、PPAPはセキュリティ面にリスクがあることや、メールを受け取る側の利便性の観点からも適切ではない旨を指摘しました。政府の方針を受けて、今後は徐々にPPAPの利用を取りやめる民間企業も増えていくものと予想され、実際に日立製作所やNTTデータ、富士通といった大手IT企業が次々と脱PPAPを宣言しています。

また、新型コロナウイルスへの感染予防策としてテレワークの導入が進んだことも、PPAP脱却が注目されるようになった理由のひとつです。資料の共有にメールを利用する機会が増えたことで、情報漏洩対策の重要性が増し、データの取り扱いに関する社内ルールを新たに整備した企業も多いでしょう。

PPAPの代替手段になるものは?

PPAPのセキュリティのリスクが明らかになったとしても、今すぐ完全廃止というのは難しいかもしれません。しかし、脱PPAPの流れは始まっています。代替手段にはどのような方法が考えられるでしょうか。

クラウドストレージ

クラウドストレージとは、インターネット上に設けるデータ置き場のようなものです。クラウドに保存されたファイルは暗号化され、ファイルを共有したい相手にURLリンクを送付すれば、リンクからファイルの閲覧・ダウンロードができる仕組みです。相手が当該のクラウドストレージを利用していなくとも、閲覧やダウンロードが可能です。

さらに、アクセスできるユーザーの範囲を必要に応じて制限できるほか、アクセスにワンタイムパスワードの入力を要求できます。また、共有リンクを誤送信したとしても、気付いた段階でリンクを無効化できるため、情報漏洩のリスクを低減できます。さらにメールでのファイル共有と違ってデバイスのデータ容量を消費しないなど、セキュリティ対策と利便性を両立できる点がメリットです。

クラウドストレージには無料のサービスから有料のサービスまでありますが、無料のものはSLAやセキュリティが担保されていないケースがあります。また、有料のサービスでは新規に契約する必要があるほか、IDとパスワードの管理に手間がかかる点がデメリットといえるでしょう。

S/MIME

S/MIME(エスマイム:Secure/Multipurpose Internet Mail Extensions)とは、電子証明書を用いてメールの暗号化と電子署名を行い、メールのセキュリティレベルを向上させる手法です。メールの盗聴だけでなく、送信者のなりすましやメールの改ざんなども防止可能です。MicrosoftのOutlookをはじめ、多くのメールソフトがS/MIMEに対応していますが、証明書の購入や設定などで導入にコストがかかるため、今のところあまり普及していません。

PPAPの代替に最適なOneDrive for Business

OneDrive for Businessとは、Microsoftが提供するクラウドストレージOneDriveに、ビジネス向けの機能を付加したもので、Officeアプリのサブスクリプションサービス「Microsoft 365」に含まれています。

1ユーザーあたり1TBと大容量のストレージが付与されるので、メールボックスの容量を圧迫しません。ファイルの共有方法を細かく設定できるのも特徴で、閲覧のみを許可してダウンロードや印刷の制限や、閲覧可能な期間の設定も可能です。共有リンクにアクセスできるユーザーの範囲は「リンクを知っているユーザー」「リンクを知っている組織内のユーザー」「既存のアクセス権を持つユーザー」「特定のユーザー」から自由に選択できます。さらにファイルにアクセスするためのワンタイムパスワードを設定できるため、安全にファイルを共有可能です。さらに、ファイルの同時編集が行えるほか、PCでもスマホでもデバイスを問わず利用でき、TeamsSharePointなど他のサービスとの連携機能も充実しています。PPAPに代わるファイル共有手段としての役割はもちろん、作業負担を軽減し、チームメンバーとのコラボレーションを促進する手段としても活躍してくれるでしょう。

まとめ

PPAPのリスクが社会的に認知されるにつれ、脱PPAPの動きはますます加速していくと想定されます。利便性とファイル共有の安全性を両立する手段としては、クラウドストレージが有効です。クラウドストレージは、アクセス管理やパスワード設定機能の有無に着目し、よりセキュアなサービスを選ぶことをおすすめします。

  • fb-button
  • line-button
  • linkedin-button

無料メルマガ

RELATED SITES

関連サイト

CONTACT

マイクロソフト関連ソリューションの掲載を
希望される企業様はこちら

TOP