PPAPの代替案なぜ必要? 高リスク運用を続けないためにクラウド化がカギ

公開日:
2021.11.22
 / 
最終更新日:
2021.11.24

「PPAP・脱PPAP」が盛んに取り上げられてから1年が経過しようとしていますが、まだ中長期的な代替案の導入に踏み切れていない企業も少なくないのではないでしょうか。「PPAP」、または「パスワード付きZipファイル」はその手順が問題視され、ベンチャー企業から大手企業までが着々と廃止に向けて動きだしている運用方法です。

この記事では脱PPAPの背景や理由、代替案までわかりやすく紹介しています。

PPAP廃止の方向に。大手IT企業も脱PPAPを公式にアナウンス

セキュリティ・パスワードのイメージ図

大手IT企業も正式にアナウンスをしたパスワード付きZipファイルの運用廃止の動きをご存じの方も多いでしょう。

【日立グループにおけるパスワード付きZIPファイル添付メール(通称PPAP)の利用廃止に関するお知らせ】(2021年10月8日|株式会社日立製作所)

日立グループは、2021年12月13日以降のすべてのメール送受信において、パスワード付きZIPファイルの利用を廃止させていただくことを、お知らせいたします。
パスワード付きZIPファイルが添付されたメールは日立グループにて送受信されず、受信者/送信者の日立グループ従業員に対して、配送を抑止した旨がメールで通知されることとなります。

<引用元>日立製作所

そもそも脱PPAPの背景やPPAPのリスクがどのようなものか、次で確認しておきましょう。

PPAPとは?形骸化したセキュリティ対策

PPAPは日本企業において機密性の高い情報(ファイル)の授受の際に一般的なファイル共有方法で、特に2010年頃より広く増えたとされている運用です。PPAPは、Zip形式で圧縮して暗号化したファイルをメール添付にて送付し、復号パスワードは別のメールに記載して送付する手順の頭文字をとったもので、以下の通りです。

  • P:Password付きZip暗号化ファイルを送ります
  • P:Passwordを送ります
  • A:暗号化します
  • P:Protocol(プロトコル=手順)

Zip形式で圧縮したファイルの暗号化とそのパスワードの別送は、悪意のある第三者による機密情報の閲覧を防止することを想定して運用されてはいたものの、セキュリティ対策としては不十分なだけでなく、逆にリスクすら孕んでいるとしてかねてより多くの有識者から指摘があり、「PPAP」はその不十分なセキュリティ対策への皮肉も込めた造語として広く知れ渡ることになりました。

PPAPが問題視された背景

企業各社が上記のような動きに本格的に乗り出したのは、初代デジタル大臣の平井氏の2020年11月17日の定例会見での発言がきっかけだと言っても過言ではないでしょう。

政府の「脱PPAP」方針とJIPDECの見解

PPAPはセキュリティ対策の観点や受け取り側の利便性を考慮すると適切ではないとことを指摘した上で、中央省庁でPPAPを廃止する方針(脱PPAP)を打ち出し、さらにそれを受けてJIPDEC(プライバシーマーク制度や電子署名・認証制度を運営する財団法人)も公式見解として「個人情報等を含むファイルの送信ではPPAPを推奨していない」旨をホームページに掲載し、地方自治体および民間企業でもPPAPのリスクについて認知と対策が始まりました。

【メール添付のファイル送信について(2020年11月18日|日本情報経済社会推進協会)】
昨今、個人情報を含むファイル等をメールで送信する際に、ファイルをパスワード設定により暗号化して添付し、そのパスワードを別メールで送信することについて、お問合せを多くいただいております。
プライバシーマーク制度では上記の方法による個人情報を含むファイルの送信は、メールの誤送信等による個人情報の漏洩を防げないこと等から、従来から推奨しておりません。

<引用元>JIPDEC

PPAPに対する民間企業の動向

PPAPに対する政府や協会の上記動きにより、民間企業各社でもパスワード付きZipファイルを受け取らないポリシーを正式に打ち出した企業も目立ち始め、社内外のファイル共有・ファイル授受は代替策が必要となっている状況といえます。

記事冒頭の日立製作所に続き、電気通信事業大手のインターネットイニシアティブ(IIJ)も以下内容で公式アナウンスをしています。

 【パスワード付きzipファイルが添付されたメールおよび別送のパスワード記載メール(PPAP)に対する当社運用の変更について(2021年11月15日|IIJ)】

メールにファイルを添付して送信する際、「パスワード付きのzipファイルと、そのパスワードを別送する」という手順で行われている情報セキュリティ対策手法、いわゆる「PPAP」につきまして、当社は2022年1月26日より、社外の方からのIIJアドレスへのメール送信における対応を、原則として以下のように変更いたします。

2022年1月25日以前 従来通り、パスワード付きzipファイルが添付されたメールを受信する
2022年1月26日以降 パスワード付きzipファイルをフィルタにより削除し、メール本文のみ受信する

<引用元>インターネットイニシアティブ(IIJ)

PPAPの問題点は?セキュリティリスクと非効率的な運用

セキュリティ対策のイメージ

具体的なPPAPの問題点を見ていきましょう。

ネットワーク盗聴による情報漏洩の可能性

PPAPにおけるファイルおよびパスワードの共有は、基本的に同一ネットワークで行われていましたが、これはネットワーク傍受(盗聴)があった際に暗号化されたZipファイルと復号パスワードを盗聴者が一度に傍受することを意味します。暗号化もパスワードの別送も、この点においてセキュリティ対策になり得ないことが理解できます。

対策ソフトでマルウェアを検知できない可能性

パスワード付きZipファイルが仮にマルウェアに感染していた場合、ウイルス対策ソフトによっては検知できずに見過ごしてしまう可能性があります。現にPPAPにより、メール送受信における通信経路でのセキュリティ製品の検知・検疫をすり抜け、受信者の手元に攻撃メールが届くといったケースも報告されています。こういった例もあり、PPAPによるファイル受信を行わないという企業が出てきているのです。

Zipファイルのパスワードが読解される可能性

Zipファイルに採用されている暗号化技術はAES とStandard ZIP 2.0(ZIPcrypto)の2種類が使用されており、幅広いOSでカバーされているStandard ZIP 2.0の強度は低いと指摘されています。また、一方のAESは強度が高いと言われていますが安全性には限界があり、何よりZipファイルのパスワードは入力エラーの回数上限がないことから、時間をかけたり計算処理性能の高いコンピューターを用いたりする事で突破できてしまう可能性は十分にあり得るのです。

添付ファイルとパスワードを別々に受信することで業務非効率につながる可能性

PPAPでは、メールの送信側と受信側ともに工程が煩雑となり、業務効率性や生産性が落ちる可能性もあります。過去のファイル授受で使用したパスワードを使いまわしたり、パスワード忘却に際しては再送を求めたり、過去メールを遡り時間をかけて必要な添付ファイルを捜索したりといった経験がある方は少なくないでしょう。

安全性を高めるために複雑なパスワードを付与し、添付ファイルそのものとパスワードを同じ手段で2通に分けて送信するという、その手間に見合わないセキュリティ脆弱性を鑑みても、決してスマートな運用とは言えません。メールとチャットなど別の手段でファイルとパスワードをそれぞれ別送付する方法もセキュリティ上は若干意味があるかもしれませんが、複数ツールを利用する煩雑さや上記のパスワード突破の問題が残ります。

PPAPの代替案としてクラウドストレージが最適な理由

クラウドの図
PPAPを廃止した場合のファイル共有は如何に行うべきかという課題に対し、多くの企業では「クラウドストレージの活用」が選択されてきています。なぜPPAPの代替案としてクラウドストレージが最適なのかを見ていきましょう。

ファイルをメールに添付する必要がない

多くのクラウドストレージサービスでは、クラウド上の対象のファイルにアクセスするための”共有リンク”と呼ばれるURLを発行し相手方に通知することで、ファイル共有を実現しています。

URLアクセス時のパスワードはもちろん、アクセスするIPアドレスの制限、ダウンロードを禁止しプレビューのみを許可する、アクセス回数や期間を限定する等の設定を選択または組み合わせることで、不要な拡散を防ぎ、送信先やファイルに誤りがあった場合には、URL自体を無効にすることで情報漏洩のリスクを極小化できます。またメールにファイルを添付する運用では課題であった、大容量ファイルの共有も可能となります。

ファイル送受信前にウィルスチェックができるサービスも

サービスによってはファイルの事前ウィルスチェックの機能が実装されているものもあります。ファイルのアップロード時にウイルススキャンが実施され、ウイルスと判定されたファイルを自動的に削除し、その旨がユーザに通知されます。意図しないウイルスの拡散も防ぎ、企業活動のコンプライアンス徹底に貢献します。

ファイル共有の停止操作や不要な情報拡散にも対応

万が一、誤った相手に共有リンクを送信してしまったという場合にも、共有の停止やパスワードの再発行等を迅速に行う事が可能です。また、ファイル共有期限を設定することで相手方が無期限でファイルを閲覧したりダウンロードしたりすることも防ぎ、これにより情報漏洩のリスクを最小限に抑えることが可能といえます。

スムーズで快適な操作性でセキュリティを担保しながら業務効率化が図れる

クラウドストレージサービスは様々な企業から提供されていますが、これまでのファイル管理の運用を変えずに利用開始ができるユーザビリティに富んだファイル共有サービスを選定することで、利用方法に戸惑う事なく高セキュアな環境でファイルが扱え、業務効率化をも狙う事が可能です。

PPAPの代替案ならFileforce®がおすすめ

PPAP運用の代替案としてクラウドストレージサービスが最適な理由をご紹介しましたが、中でもFileforce®であれば、純国産のクラウドストレージならではの高セキュアな環境でファイル共有が実現可能です。

またFileforce®は共有リンクと呼ばれるURL発行による都度のファイル共有だけでなく、頻繁にファイル授受をする社内外のメンバとクラウド上のフォルダ自体を安全に共有する方法もあるため、煩雑なメールのやりとりなしに最新のファイルを共有できるようになり非常に効率的です。共有リンクには上長による承認フローの組み込みや、だれといつどのファイルを共有したかを「操作アクション」ごとの履歴一覧から確認できるので安心です。

Fileforce®であれば、ファイルサーバのクラウド運用への移行も簡単なため、いつも使う全社でのファイル共有のツールから直接共有リンクを発行でき、ファイルデータが複数のツールやサービスに分散することも防ぐことができます。高い暗号化技術のもと、場所や相手を問わないファイル共有が実現可能なFileforce®なら、脱PPAPはもちろんのこと従来の業務から大幅に生産性をあげた新しい働き方の導入も簡単です。

Fileforce®についてのご質問・お問合せはお気軽にお寄せください。

関連記事・ニュース

30日間無償トライアルで操作性を体感しませんか?

ユーザ数無制限プラン誕生!