ページの本文へ

Hitachi
  • 2022.10.01
  • 2024.10.01
  • 秘密分散 フォー メール

PPAP問題とは?危険な理由と効果的な5つの代替案

秘密分散 フォー メール

パスワード付きZIPファイルをメールで送信後、パスワードを記載したメールを送信する方法のことを「PPAP」といいます。近年、「PPAP」は情報漏えいにつながる可能性があるとされ、問題視されています。この記事では、PPAPが持つ5つの危険性や効果的な代替案を紹介します。

※本記事に掲載している情報は2024年9月時点のものです。

秘密分散 フォー メール

カンタン・便利なのに高いセキュリティ
Outlookメールでの情報漏えいリスクを防ぎます。

PPAPとは?

PPAPとは、パスワード付きのZIPファイルをメールで送信するやり方です。ZIPファイルを添付したメールとは別に、パスワードを記載したメールを送信します。

PPAPは以下の頭文字を取った言葉の略称です。

  • Password:パスワード付きZIPファイル
  • Password:パスワードを記載したメール
  • Angou:ファイルの暗号化
  • Protocol:プロトコル

PPAPは2通に分けてメールを送信するのが特徴です。万が一ZIPファイルを誤送信しても、パスワードがわからなければ中身を見られません。手軽にできるセキュリティ対策として、多くの企業が利用しています。

PPAPが持つ5つの危険性

PPAPには以下5つの危険性があります。

  • マルウェア感染
  • 情報漏えい
  • ウイルスチェックのすり抜け
  • 暗号強度が低い
  • パスワードが解読されやすい

PPAPは、セキュリティ対策としての強度が高いとはいえません。ファイルとパスワードを別のメールで送信しても、送信経路が同じなので盗み見されやすいのがデメリットです。

PPAPの危険性を理解し、今後の対策に役立てましょう。

マルウェア感染

PPAPはマルウェアに感染する危険性があります。パスワード付きZIPファイルの中身が、マルウェアに感染している可能性があるからです。

マルウェアに感染すると、以下のような被害が想定されます。自社に限らず他社やお客さまにも迷惑をかけてしまう危険性もあります。

  • 情報流出
  • 情報抜き取り
  • 情報改ざん

感染によりデバイスが乗っ取られ、操作できない状態になる可能性もあります。勝手にPCを操作されれば、外部への被害拡大も懸念されます。

情報漏えい

PPAPは情報漏えいのリスクがあります。メールの宛先を間違えてしまうと、パスワード付きZIPファイルとパスワードを別々のメールで送信しても意味がありません。

普段どおりにメールを送信する場合でも、宛先を間違える可能性があります。簡単なタスクこそミスしがちです。また、メールの返信機能を使う際は、宛先のチェックを怠るケースも考えられます。

メールの送信はヒューマンエラーが起こりやすいものです。2通に分けてメールを送るのは理にかなっているように思えますが、宛先を間違えれば情報が漏れてしまいます。PPAPはヒューマンエラーに弱いのが難点です。

ウイルスチェックのすり抜け

PPAPはウイルスチェックをすり抜ける可能性があります。マルウェアの感染リスクと似ており、暗号化されているパスワード付きZIPファイルの中身までは、ウイルスチェックができないからです。

ファイル内にウイルスが仕込まれている場合、受信者は安全なファイルかどうか判別できません。知らずにファイルを開封してしまうと、PC全体がウイルスに感染し、情報を盗まれる危険性があります。

暗号強度が低い

PPAPの暗号強度はそれほど高くありません。量子コンピューターなどの開発が進んでおり、比較的簡単に解読される可能性があるからです。

PPAPに限らず、暗号化そのもののセキュリティ強度も万全とはいえないでしょう。高性能な機能を搭載したシステムがあれば、パスワードを解析されてしまいます。万全のセキュリティ対策ではないため、暗号化すればセキュリティ面で安心できるとは限りません。

パスワードが解読されやすい

PPAPにはパスワードを解読されやすい危険性があります。専用のプログラムで手当たり次第にパスワードを入力できるからです。

悪意のある第三者にファイルが渡ってしまうと、パスワード解読は時間の問題でしょう。ZIPファイルのパスワードは何度でも入力可能です。回数制限がないため、ロックが解除されるまでパスワードを入力されてしまいます。

ファイルにパスワードを付けているから安心とは限りません。ファイルそのものが流出してしまう危険性もあるため、PPAPは万全のセキュリティ対策とはいえないのです。

PPAPが定着した理由

PPAPがセキュリティ対策として定着した理由は以下の3つです。セキュリティ対策に関する誤った認識が拡大したことで、PPAPが定着したと考えられます。

  • ガイドラインを誤解
  • 暗号化が簡単
  • プライバシーマークなど外部審査による影響

ガイドラインを誤解

総務省が策定したガイドライン「地方公共団体における情報セキュリティポリシーに関するガイドライン」を誤解した企業が多いため、PPAPが定着したといわれています。

出典:総務省ホームページ(https://www.soumu.go.jp/denshijiti/jyouhou_policy/)

当該ガイドラインでは、一定の基準に該当する機密性を持つ情報資産を取り扱う場合、情報の送信時に暗号化することと明記されています。しかし、パスワードの取り扱いにおける以下の注意事項を読み落としているのが実態です。

  • パスワードはあらかじめ受信者と合意した文字列を用いる
  • 電子メールで送信せずに電話など別の手段で伝達する

上記注意事項が周知徹底されていないため、現状のPPAPが定着したと考えられます。

暗号化が簡単

PPAPによる暗号化は比較的簡単です。楽にセキュリティ対策ができるため、PPAPが広まったと考えられます。

Windowsの場合、フリーソフトを使えば比較的簡単にZIPファイルを暗号化できます。Macの場合はZIPファイルの暗号化機能が標準搭載されています。いずれのOSも、一度やり方をマスターすれば簡単に暗号化できます。

PPAPは強度が低いものの、セキュリティ対策には変わりありません。簡単な業務でセキュリティ対策を施せるため、PPAPが定着したと考えられます。

プライバシーマークなど外部審査による影響

プライバシーマークなど外部審査の影響により、PPAPが定着したといわれます。2005年に個人情報保護法が施行され、企業のセキュリティ対策が重要視されることになり、外部審査を受けている企業は、信頼性が高いものと見なされるようになりました。

個人情報や顧客データを管理していると対外的に証明するため、PPAPによるセキュリティ対策を実施する企業が増え、プライバシーマークを取得するには、PPAPを行えば問題ないという認識が広まったと考えられます。

PPAPを禁止した方がよい理由とは?

PPAPを禁止した方がよい理由は、おもに以下の2つです。

  • セキュリティ面に不安がある
  • 業務の手間が増える

セキュリティ面に不安がある

PPAPはセキュリティ面に不安があります。マルウェアに感染してしまうリスクやウイルス対策ソフトをすり抜ける危険性があるからです。

メールの誤送信による情報漏えいリスクも考えられます。メールの送信は慣習的に行っているケースが多いものなので、メールの送信前に毎回宛先をチェックしなければ、誤送信に気づくことさえ困難でしょう。

PPAPにはさまざまなリスクが伴います。セキュリティ対策として万全ではないため、PPAPに代わるセキュリティソリューションの検討が推奨されています。

業務の手間が増える

PPAPはメール送受信者ともに業務の手間を増やしてしまう懸念があります。送信者は、パスワード付きZIPファイルを送信するたびにパスワードを設定しなければなりません。

受信者は毎回2通のメールを受け取ることになります。送信者がパスワード記載のメールを送り忘れた場合は、いつまでもZIPファイルを開封できません。

PPAPによる業務効率の悪化を防ぐためにも、PPAPを禁止して、メールの送受信者ともに業務効率を上げましょう。

PPAP廃止に向けた日本の取り組み

PPAPは、今や信頼できないセキュリティ対策として見直しが進められています。PPAPは一般に日本で普及してきた取り組みですが、転機となったのが日本政府における全面的なPPAPの廃止です。

2020年11月、当時の平井卓也デジタル改革担当大臣は、PPAPの廃止方針を正式に発表しました。PPAPの廃止はセキュリティの観点はもちろん、利便性の観点からも時代にそぐわないとして、行政での廃止も進められています。

これに伴い、一般企業においてもPPAPの廃止は急速に進んでいます。多様なサービスを使い分けることで、業務効率化とセキュリティの強化を進めているのが近年のトレンドです。

PPAPの誤った代替案

PPAPの代替案としては、さまざまなサービスの活用が推奨されています。ただ、中にはPPAPの代替案としてはいささか不適切な施策も含まれているため、注意が必要です。

例えば、ファイル共有サービスの使用は利便性の面ではPPAPよりもはるかに優れています。ただ、セキュリティの観点から見ると、この方法ではぜい弱性が残ります。

ファイル共有サービスは、ウェブ上にファイルを一時的にアップロードし、送信先にリンクを共有してファイルをダウンロードしてもらう方法です。

メールにファイルを添付するわけではないので、一見すると情報流出を回避できるように見えるかもしれません。

ただ、メールが盗聴されている場合はダウンロードリンクごと第三者の手に渡ってしまうため、ファイルの流出は避けられません。

PPAPの代替案

PPAPの代替案は以下の5つです。

  • クラウドストレージ
  • ファイル転送サービス
  • S/MIME
  • チャットツール
  • 秘密分散技術を用いたセキュリティ対策の導入

代替案ごとに特徴や導入コストが異なります。自社に合った方法で、セキュリティ対策を強化しましょう。

クラウドストレージ

クラウドストレージとは、インターネット上でファイルを保存・アップロード・ダウンロードできるサービスです。ファイルそのものにパスワードを設定する必要はありません。サービス利用者に権限を設定することで、ファイルへのアクセス権を制限できます。

クラウドストレージでは、ウイルスチェックが行われた状態のファイルを取り扱えます。通信そのものが暗号化されているため、ハッキングなどのリスクも最小限に抑えられるでしょう。

クラウドストレージへのアクセス権限は厳重に管理することができ、それぞれのストレージも暗号化されています。そのため、第三者に情報が流出するリスクが小さく、安全にデータの共有が可能です。

あらかじめユーザーを指定して権限を付与しておくことで、関係者内での安全なファイルのやり取りが行えるでしょう。

また、ファイル保存場所のリンクを共有すれば、簡単にアクセスできるのがメリットです。手間もかからないのがクラウドストレージの魅力といえます。

ファイル転送サービス

ファイル転送サービスとは、大容量のファイルをインターネット上で転送できるサービスです。クラウドサービスは情報の共有がメインであるのに対し、ファイル転送サービスはファイルの送付を中心に行います。

インターネットに接続していれば、簡単にファイルを送受信できるのがメリットです。

S/MIME

PPAPの代替案として、S/MIMEと呼ばれる暗号化方式も有効です。電子証明書を用いることで、以下2つを実現します。

  • メールの暗号化
  • 電子署名

電子署名とは、情報が改ざんされておらず、メール送信者本人が作成したことを証明するものです。送り主の身元が電子署名によって明らかになっている場合のみメールを受け付けます。ファイル作成の日時も記録されるため、なりすまし防止効果があります。第三者が改ざんしようとすると、セキュリティ警告が表示されるのもメリットです。

また、Outlookなど多くのメールソフトがS/MIMEに対応しており。手軽に導入できるのも魅力です。依然としてメールは使用し続けるが、セキュリティ対策は強化したい場合に活躍するでしょう。

チャットツール

チャットツールの活用もおすすめです。チャットツールそのものにセキュリティ対策が施されている場合も多いため、比較的安全にファイルを送信できます。

チャットツールは、あらかじめ承認し合ったユーザー間でクローズドにコミュニケーションができるサービスです。近年はメールの代わりにチャットツールを使って業務連絡を取ることが増えており、活躍の機会は多いといえます。

チャットツールには無料で使用できるものも多く、利用にあたってコストはかからないケースもあります。それでいてメールの使用に伴う情報漏えいリスクや業務負担も回避できるため、非常にお勧めです。

送信の取り消しや送信先を明確にしやすいのもメリットです。メールより誤送信のリスクを軽減できます。ヒューマンエラー対策としても有効です。

秘密分散技術を用いたセキュリティ対策

秘密分散技術とは、単独では意味を持たない複数のデータに分けて管理することで、一部の情報が漏れても元の情報を復元不可能にする技術です。

一部の情報だけでは意味を持ちません。情報そのものの意味をなくすことで、セキュリティ強度を高めているのが特徴です。

通信を暗号化するだけでは、セキュリティ対策として不十分な場合があります。将来的には量子コンピューターなどの技術発展により、簡単に解析される可能性があるからです。

秘密分散技術を用いたセキュリティ対策で、重要な情報を保護しましょう。

秘密分散 フォー メールで安全なメールの送受信

上述の秘密分散技術を活用したソリューションとして、日立システムズエンジニアリングサービスが提供する「秘密分散 フォー メール」を紹介します。Outlookにアドインするだけで、専用線に匹敵するレベルのセキュリティでファイルの送受信が可能です。

受信者がOutlook以外のメールソフトを利用していても問題ありません。ウイルスチェックが済んだファイルをクラウド上でダウンロードできるので、マルウェア対策にも効果的です。

添付ファイルだけでなくメール本文も秘密分散技術を用いて送信されるため、PPAP対策として有効なソリューションといえます。

秘密分散 フォー メールは、複数のクラウドで情報を保管するのが特徴です。メール送信経路を分断するため、万が一すべてのピースを特定しても元の情報は復元されません。複数あるPPAP代替案のよいところだけを凝縮したソリューションといえます。

まとめ

PPAPとは、パスワード付きのZIPファイルとパスワードを記載したメールを別々に送信するやり方です。比較的簡単なセキュリティ対策として、多くの企業が導入しています。

パスワードを設定すればファイルを開封できないので安心、という考えが定着しています。しかしパスワード自体の強度は高くありません。ほかにもPPAPはマルウェアに感染するなど、さまざまなリスクがあります。

PPAPの代替案を導入して、自社のセキュリティレベルを高めましょう。インターネット上でファイルをやり取りするクラウドサービスや、電子証明書を用いるS/MIMEなどの代替案があります。

最大限セキュリティ強度を高めるなら、秘密分散 フォー メールの導入がおすすめです。一部の情報が漏れても元の情報を復元不可能にする秘密分散技術を採用しているため、安心してファイルをやり取りできます。

※本記事における価格情報記載はすべて税抜表記です。
※Microsoft、Windows、Windows 10およびMicrosoftのロゴは、米国およびその他の国におけるMicrosoft Corporationの登録商標または商標です。
※その他、記載されている会社名、製品名は、各社の登録商標または商標です。

秘密分散 フォー メール

カンタン・便利なのに高いセキュリティ
Outlookメールでの情報漏えいリスクを防ぎます。