docomo business Watch

DXの課題を解決するヒントをお届け

docomo business Watchはドコモビジネスが運営しています。

「PPAP」は危険!その理由と代替案について

「PPAP」は危険!その理由と代替案について

メールで社外とファイルをやりとりする際に、「1.メールでパスワード付きのZIPファイルを送る」「2.別のメールでパスワードを送る」、という2段階の方法をとることを「PPAP」と呼びます。セキュリティを考慮した手法だとも考えられていましたが、近年、その問題点が指摘されています。
今回はPPAPの危険性や廃止後の代替案についてご紹介します。

目次

PPAPとは?

PPAPとは、「メールでパスワード付きのZIPファイルを送り、あとで別メールでパスワードを送る」といったファイル共有方法を指します。「Password(P)付きファイルを送ります。」「Password(P)を送ります」「暗号化(A)」「Protocol(P)」の頭文字をとった言葉です。

PPAPを用いたファイル共有はこれまでさまざまな企業が採用していた方法ですが、問題点が多く、活用を疑問視されることも多くありました。日本政府もそのPPAPの危険性から廃止を発表し、現在PPAPを採用する企業は減少傾向にあります。

PPAPの危険性

PPAPの問題点はセキュリティ面での危険性が高いこと、業務効率化を妨げていることなどが挙げられます。
ここでは、セキュリティ強化のためにパスワードを別送するPPAPがなぜ危険なのか、なぜ業務上非効率なのかといった理由をご紹介します。

1. メールが盗み見される可能性

「1通目のメールで暗号化されたZIPファイルを送り、2通目でパスワードを送る」という方法では、結果的に同じ経路を使用することになります。

つまり1通目のメールが盗み見された場合、同じ道筋を行く2通目の盗み見も難しくはないと考えられます。加えてパスワードの書かれた2通目の送り先を誤って1通目とは違う相手に送ってしまったり、両方とも本来の相手ではない人に送ってしまったりといった手違いがあると、情報漏えいなどのリスクも高まります。

このようにファイルとパスワードをメール2通に分けて送るということは、一見セキュリティ対策になっているようでも、ハッカーやサイバー犯罪者からすればパスワードへの道筋が見えているともいえる状態なのです。そのためPPAPは、セキュリティ対策としては効果が薄いといえます。

2. ウイルスチェックが稼働できない

セキュリティ製品の多くは自動でメールのウイルスチェックを行いますが、パスワード付きのZIPファイルの中身は検知できません。そのためファイルにウイルスが混入していた場合、そのままPC内が汚染され、情報漏えいにつながってしまう可能性もあります。

セキュリティ製品の中にはパスワードを開封し中身をチェックするタイプのものもありますが、完全とはいえません。パスワードが複雑すぎて解けない場合も珍しくなく、その場合はやはりウイルスチェックができないままとなります。

3.ZIPパスワードの脆弱性

そもそも「ZIPに付けられたパスワード自体がセキュアである」とは言い難いでしょう。
コンピューターの機能は年々向上していること、計算能力を応用するためのシステムの開発が進んでいることもあり、専用のツールと時間さえあればパスワードの解析は可能であるとされているためです。
加えてZIPファイルの暗号はWebの暗号とは異なり何度でも入力可能なため、総当たりを行うことでいずれは突破できてしまう可能性があります。

4. 現代の働き方と合っていない

業務効率化が求められる現代で、PPAPは送信側・受信側、双方にとって負担が大きいといえるでしょう。送信側はZIPファイルにパスワードを設定してからメールを送信、さらにパスワードのメールも送信するという手間が発生します。さらに受信側も、2回に分けてメールを確認しなくてはなりません。

パスワードメールをZIPファイルが添付されているメールの直後に受信できなかった場合、ほかのメールに埋もれてしまうこともあり、探し出す手間が発生します。加えてZIPファイルをスマホで開く場合は専用のアプリを入れなくてはならない点も、受信者側の負担となる可能性があります。

PPAPの間違った代替策

 
 

PPAPの代替策として、ファイルを暗号化しないで送付したり、ダウンロードリンクを作成してメール送信をしたりするケースがあります。しかしメールが盗み見されてしまった場合、どちらも意味を成さない可能性が高いです。

ファイルを暗号化してダウンロードリンクにもパスワードを付け、パスワードをSMSやFAXといったメール以外の方法で送付をすれば、危険性は減ります。しかしセキュリティ製品がウイルスチェックを突破できない問題は解決されないままですので、より安全な代替策とはいえないでしょう。

2020年11月 政府が「PPAP廃止」を発表

 
 

かねてよりセキュリティ面・利便性の面において問題が多いとされていたPPAPについて、2020年11月に内閣府・内閣官房から廃止の発表がありました。

政府は今後クラウドストレージの活用をすすめ、双方でパスワードを決めたうえでファイル送信を行う、電話や別の方法でパスワードを通知するといった方法をすすめる方針だと発表しています。ニュースでは同時に、複数の大手企業もPPAP廃止をすすめている旨が発表されました。

PPAPの代替案

PPAPの代替案は企業によってさまざまですが、セキュリティ面・効率化を考えるのであれば、政府の発表にもあったようにクラウドストレージの活用がおすすめです。

「あらかじめファイルのパスワードを企業間で取り決めておく・ダウンロードリンクを使う」といった方法もありますが、パスワードの定期的な変更や通知の必要があります。加えて無料のダウンロードリンク作成サービスではセキュリティに関する情報が開示されていない場合が多い、といった不安要素も残ります。

クラウドストレージサービスの活用

クラウドストレージであればセキュアな環境でのファイル共有ができ、パスワードを設定する手間も不要です。さらに外出先でもスマホやタブレットを使用して、時間と場所を選ばずファイルにアクセスできます。
しかし無料の製品の場合は権限の設定が細かくできず、漏えいや改ざんが発生する危険性や容量不足などの問題点があります。

企業とその従業員の情報を守るためには、セキュリティ性能が高く、容量に悩むこともない有料版の活用をおすすめします。

世界中の企業が活用するクラウドストレージ「Box」

数ある有料クラウドストレージサービスの中でも人気のある製品が、Boxです。

Boxには複数の第三者認証を取得している高いセキュリティ性、扱いやすいシステム、細かな権限設定、各企業に合ったストレージプランの用意など、多くの企業がファイル共有サービスに求める要素が揃っています。

NTTコミュニケーションズはBoxの代理店でもあり、お客さまに寄り添ったサポートを提供しております。日本語での対応も可能ですので、導入を検討している方は、ぜひお気軽にご相談ください。

まとめ

PPAPは、セキュリティ面での危険性があり業務効率化の妨げになる可能性があるなどの問題を抱えています。
情報と従業員を守るためには、今回ご紹介した代替案の活用がおすすめです。企業情報と個人情報を保護してファイル共有にかかる手間をなくすために、NTTコミュニケーションズが提供する安心・安全なクラウドストレージサービスの活用をぜひご検討ください。

ドコモビジネスがお届けする
メールマガジン(無料)のご案内

  • コラム

    最新のサービス情報や
    ソリューションのご紹介

  • サービス導入事例

    他社の課題解決事例や
    ベストプラクティス

  • セミナー・イベント

    旬なテーマが詳しくわかる
    企画をご案内

\ご登録は1分で完了/

ドコモビジネスでは、法人向けインターネットやスマホをはじめ、
中堅・中小企業のお客さまに役立つサービスを多数ご用意しています

検索