「PPAP・脱PPAP」が盛んに取り上げられてから1年以上が経過していますが、まだ中長期的な代替案の導入に踏み切れていない企業も少なくないのではないでしょうか。
「PPAP」、または「パスワード付きZipファイルの添付メールおよびパスワード同一経路送付」は、その手順が問題視されベンチャー企業から大手企業までが着々と廃止に向けて動きだしている運用方法です。
この記事では脱PPAPの背景や理由、代替案までわかりやすく紹介しています。

PPAPとは？形骸化したセキュリティ対策

PPAPは日本企業において機密性の高い情報（ファイル）の授受の際に一般的なファイル共有方法で、特に2010年頃より広く増えたとされている運用です。PPAPは、Zip形式で圧縮して暗号化したファイルをメール添付にて送付し、復号パスワードは別のメールに記載して送付する手順の頭文字をとったもので、以下の通りです。

• P：Password付きZip暗号化ファイルを送ります
• P：Passwordを送ります
• A：暗号化します
• P：Protocol（プロトコル＝手順）

Zip形式で圧縮したファイルの暗号化とそのパスワードの別送は、悪意のある第三者による機密情報の閲覧を防止することを想定して運用されてはいたものの、セキュリティ対策としては不十分なだけでなく、逆にリスクすら孕んでいるとしてかねてより多くの有識者から指摘があり、「PPAP」はその不十分なセキュリティ対策への皮肉も込めた造語として広く知れ渡ることになりました。

PPAP最新利用状況と大手企業含む被害状況

PPAP最新利用状況

一般財団法人日本情報経済社会推進協会（JIPDEC）と株式会社アイ・ティ・アールが国内企業982社のIT／情報セキュリティ責任者を対象に、2022年1月に共同で実施した『企業IT利活用動向調査2022』の結果によると、PPAPによるファイル共有を利用していない、もしくは利用を禁止している企業は、送信側で17.9％、受信側は14.4％となっており、さらに今後は32.6％の企業が受信を禁止予定とする回答が得られたと発表されています。

PPAPでファイル添付したなりすましメールを経由して「Emotet（エモテット）」と呼ばれるコンピュータウイルスが企業組織のシステムに感染する被害が爆発的に流行している中、PPAPではそういったセキュリティリスクへの対策にはならず、多くの民間企業や自治体、官公庁も含めてPPAPによるファイル授受の危機感を強めています。

＜参考＞JIPDECとITRが『企業IT利活用動向調査2022』の速報結果を発表

なりすましメールによる企業および自治体の被害例

独立行政法人情報処理推進機構（IPA）によると、「2022年2月から3月にかけて、日本国内組織でのEmotetへの感染被害が大幅に拡大しています。情報セキュリティ安心相談窓口では、2022年3月1日～8日に、323件もの相談を受けています。これは、先月同時期（2月1日～8日）の、およそ7倍です。」（＜引用元＞独立行政法人情報処理推進機構「Emotet（エモテット）」と呼ばれるウイルスへの感染を狙うメールについて）として、注意と対策の徹底を呼び掛けています。

実際の被害事例として、国内住宅大手の積水ハウスでは、グループ会社の従業員を装う「不審なメール（なりすましメール）」の送信が相次いだとし、自社のサイトにて謝罪と注意喚起を掲載しています。

【弊社グループ従業員を装った不審メールに関するお詫びとお知らせ】（2022年1月28日｜積水ハウス株式会社）

この度、弊社グループの一部のパソコンがコンピュータウイルス「Emotet（エモテット）」に感染し、弊社グループ従業員を装った不審なメール（なりすましメール）が弊社グループ従業員とメール連絡をされた複数の方に送信されていることが確認されました。お客様並びに関係者の皆様に多大なご迷惑とご心配をおかけしておりますことを深くお詫び申し上げます。

＜引用元＞積水ハウス株式会社

なお、なりすましメール被害は民間企業だけではなく自治体にもおよび、直近の2022年３月20日付で青森県が公式ページで注意を呼びかけており、今後はより自治体による対策強化やファイル添付に関しては、セキュリティ強固な代替ソリューション等の導入が加速することでしょう。

【青森県自治体情報セキュリティクラウドからの不正メール転送にご注意ください】（2022年3月20日｜青森県）

青森県自治体情報セキュリティクラウドのメールシステムについて、次期システムへの移行作業に伴う一時的な設定不備により、外部に不正メールが送信された痕跡があることが判明したので、お知らせします。不正送信が行われたメールの概要は下記のとおりです。このメールアドレスから送信されたメールにおいて、不審な点がある場合には破棄してください。また、本文にリンク等が記載されている場合は絶対にクリックしないようにしてください。なお、メールシステムにおいては既に対策済であり、現在は、不正転送は行われていないことを確認しております。

＜引用元＞青森県 総務部 行政経営課

PPAP廃止の方向に。大手IT企業も脱PPAPを公式にアナウンス

上記で紹介したような被害流行前に、策を講じた企業もあります。大手IT企業も正式にアナウンスをしたパスワード付きZipファイルの運用廃止の動きをご存じの方も多いでしょう。

【日立グループにおけるパスワード付きZIPファイル添付メール(通称PPAP)の利用廃止に関するお知らせ】（2021年10月8日｜株式会社日立製作所）

日立グループは、2021年12月13日以降のすべてのメール送受信において、パスワード付きZIPファイルの利用を廃止させていただくことを、お知らせいたします。
パスワード付きZIPファイルが添付されたメールは日立グループにて送受信されず、受信者/送信者の日立グループ従業員に対して、配送を抑止した旨がメールで通知されることとなります。

＜引用元＞日立製作所

こういった脱PPAPの背景やPPAPの問題点を具体的に以降でご紹介しています。

PPAPが問題視された背景

企業各社が上記のような動きに本格的に乗り出したのは、初代デジタル大臣の平井氏の2020年11月17日の定例会見での発言がきっかけだと言っても過言ではないでしょう。

政府の「脱PPAP」方針とJIPDECの見解

PPAPはセキュリティ対策の観点や受け取り側の利便性を考慮すると適切ではないとことを指摘した上で、中央省庁でPPAPを廃止する方針（脱PPAP）を打ち出し、さらにそれを受けてJIPDEC（プライバシーマーク制度や電子署名・認証制度を運営する財団法人）も公式見解として「個人情報等を含むファイルの送信ではPPAPを推奨していない」旨をホームページに掲載し、地方自治体および民間企業でもPPAPのリスクについて認知と対策が始まりました。

【メール添付のファイル送信について(2020年11月18日｜日本情報経済社会推進協会)】
昨今、個人情報を含むファイル等をメールで送信する際に、ファイルをパスワード設定により暗号化して添付し、そのパスワードを別メールで送信することについて、お問合せを多くいただいております。
プライバシーマーク制度では上記の方法による個人情報を含むファイルの送信は、メールの誤送信等による個人情報の漏洩を防げないこと等から、従来から推奨しておりません。

＜引用元＞JIPDEC

PPAPに対する民間企業の動向

PPAPに対する政府や協会の上記動きにより、民間企業各社でもパスワード付きZipファイルを受け取らないポリシーを正式に打ち出した企業も目立ち始め、社内外のファイル共有・ファイル授受は代替策が必要となっている状況といえます。

記事冒頭の日立製作所に続き、電気通信事業大手のインターネットイニシアティブ（IIJ）やソフトバンク株式会社も以下内容で公式アナウンスをしています。

 【パスワード付きzipファイルが添付されたメールおよび別送のパスワード記載メール（PPAP）に対する当社運用の変更について（2021年11月15日｜IIJ）】

メールにファイルを添付して送信する際、「パスワード付きのzipファイルと、そのパスワードを別送する」という手順で行われている情報セキュリティ対策手法、いわゆる「PPAP」につきまして、当社は2022年1月26日より、社外の方からのIIJアドレスへのメール送信における対応を、原則として以下のように変更いたします。

2022年1月25日以前	従来通り、パスワード付きzipファイルが添付されたメールを受信する
2022年1月26日以降	パスワード付きzipファイルをフィルタにより削除し、メール本文のみ受信する

＜引用元＞インターネットイニシアティブ（IIJ）

【当社におけるパスワード付き圧縮ファイルの利用廃止に関するお知らせ】（2022年2月15日｜ソフトバンク株式会社）

ソフトバンク株式会社は、当社従業員が業務で使用するメールアカウントにおけるパスワード付き圧縮ファイルの利用を廃止しますのでお知らせします。
お客さまならびにお取引先企業、関係機関の皆さまには、ご理解とご協力をお願いいたします。

＜引用元＞ソフトバンク株式会社

PPAPの問題点は？セキュリティリスクと非効率的な運用

具体的なPPAPの問題点を見ていきましょう。

ネットワーク盗聴による情報漏洩の可能性

PPAPにおけるファイルおよびパスワードの共有は、基本的に同一ネットワークで行われていましたが、これはネットワーク傍受（盗聴）があった際に暗号化されたZipファイルと復号パスワードを盗聴者が一度に傍受することを意味します。暗号化もパスワードの別送も、この点においてセキュリティ対策になり得ないことが理解できます。

対策ソフトでマルウェアを検知できない可能性

パスワード付きZipファイルが仮にマルウェアに感染していた場合、ウイルス対策ソフトによっては検知できずに見過ごしてしまう可能性があります。現にPPAPにより、メール送受信における通信経路でのセキュリティ製品の検知・検疫をすり抜け、受信者の手元に攻撃メールが届くといったケースも報告されています。こういった例もあり、PPAPによるファイル受信を行わないという企業が出てきているのです。

Zipファイルのパスワードが読解される可能性

Zipファイルに採用されている暗号化技術はAES とStandard ZIP 2.0（ZIPcrypto）の2種類が使用されており、幅広いOSでカバーされているStandard ZIP 2.0の強度は低いと指摘されています。また、一方のAESは強度が高いと言われていますが安全性には限界があり、何よりZipファイルのパスワードは入力エラーの回数上限がないことから、時間をかけたり計算処理性能の高いコンピューターを用いたりする事で突破できてしまう可能性は十分にあり得るのです。

添付ファイルとパスワードを別々に受信することで業務非効率につながる可能性

PPAPでは、メールの送信側と受信側ともに工程が煩雑となり、業務効率性や生産性が落ちる可能性もあります。過去のファイル授受で使用したパスワードを使いまわしたり、パスワード忘却に際しては再送を求めたり、過去メールを遡り時間をかけて必要な添付ファイルを捜索したりといった経験がある方は少なくないでしょう。

安全性を高めるために複雑なパスワードを付与し、添付ファイルそのものとパスワードを同じ手段で２通に分けて送信するという、その手間に見合わないセキュリティ脆弱性を鑑みても、決してスマートな運用とは言えません。メールとチャットなど別の手段でファイルとパスワードをそれぞれ別送付する方法もセキュリティ上は若干意味があるかもしれませんが、複数ツールを利用する煩雑さや上記のパスワード突破の問題が残ります。

PPAPの代替案としてクラウドストレージが最適な理由

PPAPを廃止した場合のファイル共有は如何に行うべきかという課題に対し、多くの企業では「クラウドストレージの活用」が選択されてきています。なぜPPAPの代替案としてクラウドストレージが最適なのかを見ていきましょう。

ファイルをメールに添付する必要がない

多くのクラウドストレージサービスでは、クラウド上の対象のファイルにアクセスするための”共有リンク”と呼ばれるURLを発行し相手方に通知することで、ファイル共有を実現しています。

URLアクセス時のパスワードはもちろん、アクセスするIPアドレスの制限、ダウンロードを禁止しプレビューのみを許可する、アクセス回数や期間を限定する等の設定を選択または組み合わせることで、不要な拡散を防ぎ、送信先やファイルに誤りがあった場合には、URL自体を無効にすることで情報漏洩のリスクを極小化できます。またメールにファイルを添付する運用では課題であった、大容量ファイルの共有も可能となります。

ファイル送受信前にウィルスチェックができるサービスも

サービスによってはファイルの事前ウィルスチェックの機能が実装されているものもあります。ファイルのアップロード時にウイルススキャンが実施され、ウイルスと判定されたファイルを自動的に削除し、その旨がユーザに通知されます。意図しないウイルスの拡散も防ぎ、企業活動のコンプライアンス徹底に貢献します。

ファイル共有の停止操作や不要な情報拡散にも対応

万が一、誤った相手に共有リンクを送信してしまったという場合にも、共有の停止やパスワードの再発行等を迅速に行う事が可能です。また、ファイル共有期限を設定することで相手方が無期限でファイルを閲覧したりダウンロードしたりすることも防ぎ、これにより情報漏洩のリスクを最小限に抑えることが可能といえます。

スムーズで快適な操作性でセキュリティを担保しながら業務効率化が図れる

クラウドストレージサービスは様々な企業から提供されていますが、これまでのファイル管理の運用を変えずに利用開始ができるユーザビリティに富んだファイル共有サービスを選定することで、利用方法に戸惑う事なく高セキュアな環境でファイルが扱え、業務効率化をも狙う事が可能です。

PPAPの代替案ならFileforceがおすすめ

PPAP運用の代替案としてクラウドストレージサービスが最適な理由をご紹介しましたが、中でもFileforceであれば、純国産のクラウドストレージならではの高セキュアな環境でファイル共有が実現可能です。

またFileforceは共有リンクと呼ばれるURL発行による都度のファイル共有だけでなく、頻繁にファイル授受をする社内外のメンバとクラウド上のフォルダ自体を安全に共有する方法もあるため、煩雑なメールのやりとりなしに最新のファイルを共有できるようになり非常に効率的です。共有リンクには上長による承認フローの組み込みや、だれといつどのファイルを共有したかを「操作アクション」ごとの履歴一覧から確認できるので安心です。

Fileforceであれば、ファイルサーバのクラウド運用への移行も簡単なため、いつも使う全社でのファイル共有のツールから直接共有リンクを発行でき、ファイルデータが複数のツールやサービスに分散することも防ぐことができます。高い暗号化技術のもと、場所や相手を問わないファイル共有が実現可能なFileforceなら、脱PPAPはもちろんのこと従来の業務から大幅に生産性をあげた新しい働き方の導入も簡単です。