PPAPとは?危険性と代替案をわかりやすく解説
「添付ファイルを送ります。パスワードは別メールでお送りします。」
このやり取りに覚えはありませんか?ビジネスシーンで当たり前のように使われてきたこの方法は「PPAP」と呼ばれ、実は2020年に政府が廃止を表明したほど危険性が指摘されています。
PPAPとは
パスワード付きZIPファイルをメール添付で送信し、解凍パスワードを別メールで送るセキュリティ対策のことです。一見安全に見えますが、現在では多くの企業が使用を禁止しています。
本記事では、PPAPの基本から危険性、そして政府や大手企業が推奨する代替案まで、2025年最新の情報をもとに詳しく解説します。
目次
PPAPとは|基本的な仕組みを理解する
PPAPは次の4つの頭文字をとった造語です。
・Password付き添付ファイル
・Passwordの送付
・Angouka(暗号化)
・Protocol(プロトコル)
機密情報や個人情報を含むファイルを電子メールで送信する際に用いられる方法で、一言でいえば「添付ファイルを送付します。復号化パスワードは別メールで送信します。」という一連の流れです。
具体的には以下の手順で行われます:
1. パスワード保護されたZIPファイルの作成: 送信したいファイルをパスワード付きZIPファイルに圧縮します。
2. 添付: 作成したZIPファイルを電子メールに添付します。
3. 添付ファイルの送付: ZIPファイルを添付したメールを送信します。
4. 別メールでのパスワード送信: ZIPファイルを開くためのパスワードを別のメールで送信します。
この方法は、一見セキュアに見えるため、多くの日本企業で広く採用されてきました。特に、顧客情報や財務データなど、機密性の高い情報をやりとりする際によく使用されます。
PPAPの利点として、特別なツールや専門知識が不要で、誰でも簡単に実施できる点が挙げられます。また、多くの人が慣れ親しんだ方法であるため、組織内での導入障壁が低いのも特徴です。
しかし、セキュリティ専門家からは、PPAPの安全性に対する懸念が指摘されています。
PPAPの問題点
なぜ添付ファイルにパスワードを設定するのか
メールに添付するファイルにパスワードを設定する理由は複数ありますが、主な理由は2点です。
メールの盗聴対策
インターネットを介して送信されるメールは、送信者から受信者に届くまでに複数のサーバーを経由します。
この過程で悪意のある第三者によって盗聴される可能性があります。添付ファイルにパスワードを設定することで、たとえメールの内容が傍受されたとしても、重要な情報が含まれる添付ファイルの中身は保護されます。暗号化されたファイルは、正しいパスワードなしでは解読が困難であるため、機密情報や個人情報の漏洩リスクを大幅に軽減することができます。
メールの誤送信対策
メール送信時に宛先を間違えて意図しない相手にメールが送られてしまうことがあります。
このような誤送信が発生した場合でも、添付ファイルにパスワードが設定されていれば、誤って受信した人がファイルを開いて内容を閲覧することを防ぐことができます。
パスワードは別の手段で正規の受信者にのみ伝えられるため、たとえメール自体が間違った相手に届いたとしても、重要な情報が記載された添付ファイルの中身にアクセスされるリスクを低減し、情報の機密性を維持することができます。
パスワードを設定する理由から見える問題点
では、PPAPの流れからその問題点を考えてみます。
メールの盗聴対策
問題点:添付ファイル付きメール(1通目)を盗聴できるなら、パスワード通知メール(2通目)も盗聴できる。
PPAPを同じ経路のメールで送付する場合、1通めの添付ファイル付きのメールが盗聴できるようであれば、2通目のパスワード通知メールも盗聴することが可能であることは容易の想像がつきます。これは、鍵をかけた金庫を送る際に、その鍵を金庫と一緒に送るようなものです。
メールの誤送信対策
問題点:1通目のメールアドレスが間違っていた場合、2通目も同じ間違いを繰り返す可能性が高い。
人間の認知バイアスによるもので、最初の送信時に誤ったアドレスを使用してしまうと、その誤りが正しいものとして脳に刻まれ、2通目の送信時にも同じ誤ったアドレスを無意識に選択してしまう傾向があります。結果として、2通のメール送信は誤送信のリスクを軽減するどころか、むしろ同じミスを2度犯す可能性を高めてしまいます。
PPAPその他の問題点
ウイルスチェックをバイパスされてしまう
復号化パスワードを知らなければファイルの中身を見ることができないという点は、添付ファイルが安全なものかどうかウイルスチェックを行うメールセキュリティシステムでも同様です。ウイルスはメールセキュリティを通過するため、エンドポイントであるPCでウイルスを排除する必要があります。
暗号強度が弱い可能性
Webシステム等では、総当たり攻撃にそなえて試行回数に制限を設けることができます。しかし、パスワード付きの添付ファイルはパスワード試行回数に制限がないため、攻撃者は無制限に推測を繰り返すことができます。これにより、短いパスワードや一般的な単語を使用している場合、攻撃者が高速なコンピューターを使って短時間で解読できる可能性があります。例えば「パスワードは貴社の外線番号です」とした場合、長くて11桁の数字ですが、現在のコンピュータの能力では1秒かからず解析可能です。
PPAPの代替案
クラウドストレージの活用
クラウドストレージサービスは、PPAPの代替手段として多くの利点を提供します。強力な暗号化とアクセス制御機能により、PPAPで懸念される暗号化の脆弱性とセキュリティリスクを大幅に軽減します。また、二段階の送信プロセスが不要となり、ユーザーの利便性が向上します。大容量ファイルの取り扱いや、監査機能、バージョン管理など、PPAPでは困難だった機能も実現可能です。多くの組織のセキュリティポリシーにも適合しやすく、コンプライアンス要件を満たしやすいという利点もあります。ただし、適切なアクセス権限設定や信頼できるサービスの選択など、使用時の注意点もあります。総じて、クラウドストレージサービスは、PPAPよりも安全で効率的なファイル共有手段として、多くの組織で採用されています。
主なメリット
- アクセス権限の細かな設定が可能
- ダウンロード履歴の記録
- ファイルの有効期限設定
- 二段階認証による高いセキュリティ
- 大容量ファイルの共有が容易
導入時の注意点
セキュアなファイル転送サービス
セキュアファイル転送サービスは、機密性の高いデータや大容量ファイルを安全に送受信するためのオンラインプラットフォームです。これらのサービスは、エンドツーエンドの暗号化を使用してデータを保護し、送信者と受信者の認証を行います。多くの場合、ファイルの有効期限設定、アクセス制御、監査ログの記録などの機能も提供します。ユーザーはWebインターフェースやアプリを通じてファイルをアップロードし、受信者はセキュアなリンクを通じてダウンロードできます。これにより、電子メールの添付ファイルサイズ制限を回避しつつ、高度なセキュリティを確保できます。
政府・大手企業のPPAP廃止動向
政府の取り組み
日本政府によるPPAP廃止の取り組みは、デジタル化推進の一環として進められました。
2020年11月、当時のデジタル改革担当大臣だった平井卓也氏が、PPAPの廃止を含むデジタル改革の方針を発表しました。この動きは、行政のデジタル化とセキュリティ強化を目指すものでした。
平井大臣は、国民からの意見を広く募集するために設置された「デジタル改革アイデアボックス」から、PPAPの非効率性や安全性の問題に関する多くの意見が寄せられたことを受け、政策決定に反映しました。
民間企業の対応事例
政府の方針表明を受け、多くの大手企業がPPAP廃止に踏み切っています。
現在では、PPAPで送られたメールを受信拒否する設定にしている企業も増加しており、業界全体でセキュリティ意識が高まっています。
まとめ
PPAPは一時期、情報セキュリティ対策として広く普及しましたが、現在はその効果と問題点について再考が求められています。実際、政府も2020年にPPAPを推奨しないと明言しました。パスワード付きZIPファイルの脆弱性、メール経由での機密情報送信のリスク、運用負荷の増大などが主な課題です。より安全で効率的な代替手段として、セキュアなファイル転送サービスやクラウドストレージの活用が注目されています。PPAPに依存せず、新たな技術や効果的な方法を積極的に導入することで、情報セキュリティの向上と業務効率化の両立が可能となるでしょう。
