fbpx

廃止論が再燃!もう一度PPAPについて考えてみる

2年ほど前に話題になったPPAP。

日本のITリテラシーの低さを象徴するかのような言葉として浸透しましたが、これまでの慣習を変えられず、惰性でそのまま運用している企業も少なくありません。

そんなPPAPを廃止すべきという論調がここ最近になって再燃しています。

メールに暗号化したファイルを添付し、そのパスワードを別のメールで送る方式(PPAP)を廃止し、受け取りも制限する動きが道内の法人や官公庁でも出てきた。暗号化したファイルとパスワードを同じ経路で送るためセキュリティー対策としての効果が薄い上、コンピューターウイルスをまん延させる温床になりかねないからだ。ITセキュリティー会社は「ファイルをウェブからダウンロードして受け渡すなど代替手段を考えてほしい」と訴えている。

道庁や企業で広がるPPAP廃止 添付ファイルとパスワード別送は効果薄 出典:北海道新聞

この記事では

  • PPAPとは何か
  • 再びPPAP廃止論が盛り上がっている背景に何があるのか
  • PPAPに代わる代替え案

についてご説明したいと思います。

PPAPとは

PPAP(ピーピーエーピー)は主にメールの送受信の際に行われる情報セキュリティ上の対策手法の一つです。

PPAPと聞くとまっさきに思い浮かべるのはピコ太郎さんだと思いますが、まさに今回説明する情報セキュリティーの用語であるPPAPも、命名者(大泰司章氏@otaishi)がピコ太郎さんのPPAP(ペンパイナッポーアッポーペン)からインスピレーションを得て命名したそうです。

PPAPはメールでExcelやWordのファイルを送るとき、セキュリティ対策を施す手順の頭文字をとったものです。

  • P「Password付きファイルの送信」
  • P「Passwordの送信」
  • A「暗号化の解除」
  • P「Protocol」(手順や規約を意味する英単語)

暗号化の「A」だけ日本語。

少々強引な気がしますが、命名された時点で撲滅するべき古い慣習だったので、注目されやすいようにキャッチーさを優先したのかもしれません。

セキュリティ脆弱性の問題点

PPAPという手法はセキュリティレベルが担保されていないにもかかわらず、多くの企業で慣例化され、惰性で使い続けれられてきました。

そもそもの目的は、メールでExcelやWordなどファイルを送信する際、そのファイルの中身を第三者に見られないようにすることです。

PPAPの手順を踏めば、ファイルが暗号化されているため、万が一傍受されてもファイル自体を開かれることがないと考えられてきました。

しかし実際には技術面と運用面で様々な問題があるのです。

そもそも、誤送信してしまったら?

PPAPは、送りたいファイルとそのファイルを開くためのパスワードを別々のメールで1通ずつ送ります。

しかし多くの場合は、2通とも1つの送信アドレスから1つの受信アドレスに同じ経路を使って送られます。

つまり単純な人的ミスにより、送り先を間違えたら、その受信者はファイルとパスワードの両方を手に入れることができるため、当然暗号化されたファイルでも簡単に開けることができてしまいます。

つまり、PPAPは人的ミスを防ぐ対策ではないということです。

ZIP暗号化運用の問題

そもそもZIPファイルの暗号化はセキュリティレベルを担保するための暗号化ではないため、様々なリスクを抱えています。

暗号化されたZIPファイルのパスワードは何度でも入力できるため、パスワードを連続的に入力できるような専用ツールを使えば苦労せず開けられてしまいます。

また、ZIPファイルを暗号化してもフォルダの中身(Excelなどのファイル)は暗号化されていないため、使用している通信経路が傍受されていれば、中身を見られてしまいます。

さらに、パスワード付きのZipファイルはメールサーバーでセキュリティスキャンできないためウイルスやマルウェアなどが混入したファイルが素通りしてしまいます。

政府がPPAPを廃止にした理由

デジタル改革相の平井大臣が、PPAPを2020年11月26日からやめると宣言し話題になりました。

デジタル改革アイデアボックスにこの慣習に関する多数の投稿が寄せられたことがきっかけで、捺印の廃止と同様、意味がないことは止めようということになったようです。

つまり、公共の立場から見てもこの古い慣習を廃止すべきと判断したことになります。

再燃したPPAP廃止の流れ

PPAPが当初話題に上がってから、かなりの時間が経過していますが、実際は廃止できていない企業も残っています。

しかし最近になって再度PPAP廃止論が声高に叫ばれるようになった背景にはマルウエア「Emotet」(エモテット)の感染拡大あります。

Emotetはパソコン内のデータを盗み、取引先など実在の人物をかたる巧妙なメールで、ウィルスに感染したファイルを送信することによって感染を拡大、自己増殖します。

パスワード付きのZipファイルを送信するPPAPという手法は、ウィルスに感染したファイルもセキュリティを素通りできるため、Emotetにとっては好都合になります。日本情報経済社会推進協会(東京)は「PPAPを使い続けると取引先を危険にさらす」とまで言っています。

PPAPの代替手段となるツールや手法

Emotetの再出現により喫緊の課題になったとは言え、未だ多くの企業がPPAPをやめられないのは適切な代替案を見つけられないからかもしれません。

運用面や環境面によって最適な代替案は変わってきますが、ここでは代表的なものをご紹介します

クラウドストレージでファイルを共有する

クラウドストレージとは、インターネット上にデータを保管サービスです。

MicrosoftのOneDriveやGoogleのGoogleドライブが有名です。

これを使ってファイルを共有する形をとります。クラウドストレージを利用したファイルの共有流れは、下記のようなものになります。

  • 送信者がクラウドストレージにファイルをアップロードする
  • 送信者が受信者にファイルのアクセス権限を与える
  • 送信者が受信者にファイルの保管場所を伝える
  • 受信者が保管場所にアクセスし、ファイルをダウンロードする

PPAPの代替として利用するときは、誰がそのファイルを開いたり編集したりできるかの制限をかけます。

アップロードしたファイルにアクセスできる相手を限定することで、セキュリティーを高めることができます。

またメールでのやりとりと違い、クラウドストレージでファイルを共有するメリットして複数の人でリアルタイムに同時に作業できるメリットもあります。

ファイル転送サービス

もともとファイル転送サービスとは、メールに添付して送るにはサイズが大きすぎるような大容量のファイル(データ)送受信するために普及したサービスです。

大容量のデータを送るという目的以外にセキュリティ面も考慮されたファイル転送サービスもあります。

  • ファイルや通信を暗号できる
  • 送信者がアップロードしたデータが自動的にウィルススキャンされる
  • 誤送信場合、取り消せる
  • アップロードしたファイルを誰がダウンロードしたのか確認できる

上記のような機能が備わっているファイル転送サービスであれば、PPAPの代替案として候補に上げることができるでしょう。

まとめ

今回は再燃したPPAP廃止論についてご紹介しました。

代替案も合わせてご紹介しましたが、あくまでもツールは人が使うもの。

根本的な人為的ミスを無くすのはなかなか難しいかもしれません。

重要なのは、ツールを使われる方が危険性と自社の運用を認識することだと思います。

今後も当ブログでは中小企業に役立つサイバーセキュリティの情報をお届けするので、自社のセキュリティ面を考慮した業務改善にお役立てください。

お問い合わせ

ブログの内容や会社のITのことでお困りごとがあればお気軽にお問い合わせください

PAGE TOP