PPAPは禁止するべき？その問題点や各企業の動きからPPAPの代替案までを解説

PPAPとは、いわゆるパスワード付きzipファイルを使ったファイル共有手段のことです。
「PPAP」という用語は、それぞれ以下の頭文字を表しています。

これまで、セキュアなファイル共有手段として多くの企業で利用されてきた「パスワード付きzipファイルをメールでやり取りすること」だと理解して問題ありません。

それでは、PPAPの問題点をみていきましょう。

メールが盗聴される可能性

PPAPでは、メールが盗聴される可能性があります。なぜなら、zipファイルとパスワードを添付したメールは、同じネットワーク（通信経路）を通って送受信されるからです。
同じルートを通るということは、zipファイルとパスワードが同時に盗聴される可能性が高まるということです。例えば、ネットワークに設置されているルーターAが監視されている場合、zipファイルを添付したメールもパスワードを記載したメールも、ルーターAを通過するときに盗聴されてしまうのです。これでは、zipファイルとパスワードを分けて送信する意味はありません。
つまり、PPAPはセキュリティとして脆弱だということなのです。

情報漏えいの可能性

zipファイルとパスワードのメールが盗聴されてしまうと、情報漏えいにつながります。
もちろん、メールの通信経路が暗号化されていたり、zipファイルのパスワードに10桁以上の複雑なものを設定していたりするなどの工夫をしている企業が大半でしょう。
しかし、メールはさまざまなサーバーを経由しながら送受信が実現します。この間、すべての経路が暗号化されていないとセキュリティ対策として意味を成しません。また、桁数の多い複雑なパスワードを設定していても、パスワードを記載したメールが同時に盗聴されてしまえば、簡単に情報は漏えいしてしまいます。
パスワード付きのzipファイルは、セキュリティソフトでのウイルスチェックができない可能性もあります。セキュリティソフトの種類にもよりますが、パスワードがかかっているファイルのウイルスチェックがスキップされてしまうのです。その結果、zipファイルを解凍したパソコンがマルウェアに感染するといった危険性があります。
例えば、受信したパスワード付きzipファイルが、業務で使われる正規のメールを装う攻撃メールの「Emotet（エモテット）」に感染していても、受信側のセキュリティソフトでウイルスチェックができなければ、zipファイルを解凍した際に感染してしまいます。この場合、PPAPはマルウェアの隠れ蓑として利用されてしまうのです。

PPAPに対しては、日本政府や各企業にも動きがでてきています。ここでは、それぞれの動向をチェックしておきましょう。

PPAPを廃止した政府

2020年11月に、デジタル改革担当大臣がPPAPの利用をやめる方針を発表しました。中央省庁において「パスワード付きzipファイルを使った文書のメールでのやり取りを廃止する方針」を打ち出したのです。この発表は、企業が「PPAPを廃止する動きを」加速させています。

日立の事例

ITベンダーの日立製作所でもPPAPを禁止する方針であることがわかりました。
日立製作所では、2021年から電子メールへの「暗号化ファイル添付を禁止」しています。また、日立ソリューションズが提供する「秘文」シリーズの添付ファイルの自動暗号化ツールに関しては、すでに2017年に販売終了しているなど、早々にPPAPへの対策を進めていたことがわかります。
パスワード付きファイルはメール受信時にマルウェア検査ができない可能性があることや、PPAPがマルウェアの拡散を助長する可能性があるとして、パートナー企業や取引先に対してもPPAPの利用を控えてもらうよう周知を行っています。

これまで、PPAPを主要なファイル共有方法として運用してきた企業は、今後どのような代替手段を使うべきなのでしょうか。
それは、クラウドストレージの利用です。
クラウドストレージならば、企業のビジネス利用を前提に運用されているサービスも多く、セキュリティ面はもちろん操作性などにも配慮されています。機能の一例としては、アクセス権限などを制御できたり、クラウド上でファイルを共同編集できたりと、セキュリティと利便性を兼ね備えていることが挙げられます。
また、ファイルの自動バックアップなども備えており、PPAPよりもセキュアにファイル共有ができることが特徴だといえます。ビジネス用途を前提に提供されているサービスは多数存在するため、自社の用途やコストに合わせて選定しましょう。

引用：NTT東日本

お電話でのお問い合わせは
TEL 0120-971-948
受付時間 9:00 – 18:00 [ 土・日・祝日除く ]