PPAP(ピーピーエイピー)とは、メールを使ってパスワード付き暗号化zipファイルを送信して、その後、別のメールでそのzipファイルのパスワードを送信し、ファイルを共有する方法のことを指します。
この日本ではよく利用されるファイル共有方法について2020年秋頃から少しざわついておりますが、その理由やPPAPの概要などを整理しておりますので、ぜひ読み進めていただければと思います。
この記事の目次
PPAPとは
PPAP(ピーピーエイピー)とは、メールを使ってパスワード付き暗号化zipファイルを送信して、その後、別のメールでそのzipファイルのパスワードを送信し、ファイルを共有する方法のことを指します。これは主に社外に対して重要情報が含まれたファイルをメールで送信する際に用いられている方法です。
PPAPは日本で広まった造語であり「パスワード付き暗号化ファイル(P)の後にパスワード(P)を送る暗号化(A)プロトコル(P)」という言葉を基にして作られました。PPAPはセキュリティ的には、それほど効果がなく無意味な手段であることもあって、セキュリティとは全く無関係なピコ太郎のPPAPを連想させることなど、皮肉をこめて名付けられたという経緯もあります。
もう一度、このPPAPをまとめると下記の流れとなります。
P | パスワード付きzip暗号化ファイルを送ります |
---|---|
P | パスワードを送ります |
A | 暗号化 |
P | プロトコル(Protocol・手順や規格のこと) |
このようにパスワード付き暗号化zipファイルとパスワードを別々に送信する手段のことをPPAPというわけです。
PPAPが広まった理由
PPAPが広まった理由として、メールによる情報の共有手段としてパスワード付き暗号化zipファイルを用いることで、セキュリティやメールの誤送信による情報漏洩を防ぐことができるという考え方があったからです。
通常、パスワード付き暗号化zipファイルはパスワードを知らなければ開くことはできません。つまり、もしパスワード付き暗号化zipファイルを誤送信してしまっても、パスワードを知られなければ解凍できないので安全ですし、メールを盗聴されても暗号化されているので情報漏洩は発生しないであろうという都市伝説があったわけです。
認証上では本来、パスワード付きzipファイルのパスワードは、メールとは別の手段を用いて相手に送るべきですが、同じ送信先に対して2回目のメールでパスワードを送信するだけでも十分であろうという誤解が生まれ、その方法が普及してしまったことが、都市伝説の原因と言われています。
そもそもパスワード付き暗号化zipファイルの暗号化強度もそれほど強くなく、容易に解読されてしまいます。さらにインターネット上には、パスワード付き暗号化zipファイルのパスワード解析ソフトも公開されています。このことも今となっては周知の事実で、情報漏洩は発生しないという都市伝説にすぎない実状の原因です。
今、脱PPAPが推奨される理由
以前から有識者の間ではPPAPの問題は指摘されていました。最近になってその動きが加速している理由として、2020年11月24日に、平井卓也デジタル改革担当大臣の記者会見で以下のような発表があったからです。
その内容とは、「パスワード付き暗号化zipファイルをメールで添付した後に別のメールでパスワードを追送する手順である、PPAPを内閣府と内閣官房で11月26日に廃止する」という発表でした。
今となっては、上記のようにPPAPはセキュリティ対策としてはあまり有効ではないことが知られてきました。また、もう1つ問題が指摘されています。それは受信側の生産性を著しく落とすことです。業務でパスワード付き暗号化zipファイルが必要になった際に、そのファイルとパスワードが記載されたメールが別々になっていることで、不便な思いをしたことがある方は少なくないでしょう。
PPAPのメリットとデメリット
セキュリティ上の利点はないと言えるPPAPですが、あらためてここでPPAPのメリットとデメリットを整理しましょう。
メリット
- 送信者側としては、比較的手軽に送信情報の暗号化ができる
- 添付ファイルをパスワード付き暗号化zipファイルにしておけば、送信者が送信先を間違え誤送信してしまっても、パスワードが別便であれば、受信者はパウスワード付き暗号化zipファイルの解凍はできないため、機密情報の漏洩を未然に防ぐことができる
(ただし、この方法はパスワードを含めた2通目のメールは適切に送信されることを前提としています。2通目のメールも自動送信システムなどで誤送信してしまうと意味がありません)
デメリット
- パスワードが記載された2通目のメールを自動的に送信する運用だと誤送信対策にならない
- 受信者側としては、パスワード付き暗号化zipファイルと、そのファイルを解凍するためのパスワードが別になっているため、添付メールとパスワード付きメールを探す手間がかかり、非効率
- そもそもパスワード付き暗号化zipファイルの秘匿性は低い
- 受信者側が用意しているマルウェアフィルタをすり抜ける可能性がある
- Zipファイルはウイルスやマルウェアの温床ともなっており、Zipファイルを使う企業はアタックの対象となりやすい
- スマートフォンといったモバイル端末からの閲覧性が低い
- これらのデメリットがあるにも関わらず、自社では情報セキュリティ対策を十分に実施しているという慢心が生まれる
PPAPにはこのようなメリットとデメリットがあるわけですが、こうして整理すると、デメリットの方が圧倒的に多いことがわかります。またPPAPにはセキュリティの観点から意味がないだけでなく、生産性が低下する望ましくない手段であることもおわかりいただけるかと思います。
PPAPの代替手段となりうるファイル共有手段は?
PPAPが無意味だったとしても、外部との情報共有のニーズは非常に高く、社外の関係者に対して機密情報や重要情報を含め、安全かつ効率的にファイルを共有する手段が必要です。
ここでは具体的に以下の3つの方法についてご紹介します。
クラウドストレージを利用する
クラウドストレージを利用してファイルを共有する手段です。クラウドストレージとはインターネット上に設けられたファイル置き場のようなものであり、アクセス制限やファイル操作権限を設定することで、セキュリティを確保することができます。
インターネット上には多くの企業がクラウドストレージサービスを展開していますが、ファイル共有リンクなどの機能を活用すれば、相手が自分と同じクラウドストレージサービスを使用していなくても、ファイルをダウンロードさせることは可能です。クラウドストレージの利用は、セキュリティの確保と利便性の両立が可能であるため、もっとも推奨できるファイル共有手段です。
SNSやチャットを利用する
SNSやチャットを利用してファイルを共有することもできます。
例えばDM(ダイレクトメッセージ機能)を使えば、1対1でのメッセージのやり取りが可能となり、そこで添付ファイルのやり取りをすれば、無関係なユーザーからそのファイルの内容を知られることはありません。しかし業務で使うアプリケーションとして、SNSやチャットがふさわしいかどうかの検討は必要です。また誤送信に対してはメールと同様で、チャットでも防ぐことはできません。
メールにそのまま添付する
機密情報や重要情報であってもメールを使ってそのまま添付してしまうという方法もあります。この方法は、そもそもパスワード付き暗号化zipファイルにはセキュリティ上のメリットが存在しない、という考え方に基づく方法です。
先ほど紹介したPPAPのデメリットが気になる方は、メールにそのまま添付するという方法を取るかもしれません。しかしメールの誤送信のことを考えると、メールにそのまま添付する方法は、積極的に勧められる代替手段とは言えません。
テレワークが増える中でのファイル送信・ファイル共有を考える
新型コロナウイルスの影響などで、テレワークを導入する企業が増えてきました。テレワーク実施下においては、VPNなどのセキュアな環境を用意しない限り、ファイルサーバーや社内システムへの安全なアクセス方法が課題となります。
企業によってはテレワークの実施により、これまで以上にメールへの依存度が高くなることが予想されます。重要情報や機密情報を安全にやり取りするためのアクセス性や脱PPAPの両方を一気に解決するためにも、クラウドストレージ活用の検討が求められます。
重要情報や機密情報をメールでそのまま添付したり、SNSなどでやり取りしたりするのは、やはり誤送信が問題となります。これは仕事上ファイルを送信することが当たり前になっているという認識であることが理由の一つです。しかし、そもそもファイルを送信したり受信したりすること自体が、問題であると捉えるべきです。
クラウドストレージのセキュアな活用方法が必要
PPAPは情報共有の手段の一つですが、セキュリティ上の問題も含めてあまり効率的とは言えません。ファイルの共有を含めた情報共有の手段として、メールサーバーをファイルサーバー代わりに使うのではなく、ニューノーマルでは、より効率的でセキュリティも堅牢なクラウドストレージの検討が必須です。
今回のテーマのPPAPはファイル共有ですが、少しズームアウトして考えるとファイル共有は、ファイルの作成から共有、活用、保存、破棄までの流れの内の1プロセスです。
脱PPAPを機にセキュリティ強化および効率化を図る、テレワーク実施を機に新しい働き方を推進するということであれば、作成から共有、破棄まで一気通貫で使えるコンテンツ管理機能を持つサービスがより有用になります。メールやチャットにファイルの実体を添付するのではなく、ファイルリンクのURLをメールやチャットに添付するのです。
セキュアなファイル共有の視点でのクラウドストレージの選び方
多くの企業がクラウドストレージを提供していますが、セキュアなファイル共有の視点でクラウドストレージを選ぶとなると、注意したいのがセキュリティ強度に応じた使い分けが可能であるかどうかです。
例えば、オープンな共有リンクしか発行できないクラウドストレージではPPAPの解決方法とはなりません。なぜならオープンな共有リンクは、そのリンクが知られてしまうと、だれでもその情報にアクセスできてしまうからです。
単純に全ての方に対してファイルを共有したい、機密情報ではないのであれば、それで構いません。しかし業務においては、共有するファイルにアクセスできる人を制限したいことも多くあります。そのためには、共有設定が何段階かあり、さらにファイルの閲覧、ダウンロード、変更、削除などさまざまな種類のアクセス制限機能をファイルやフォルダごとに使い分けられるサービスであることは必須の機能です。特に機密性が高いファイルの共有の際には、アクセス制限を含めたセキュリティ強度を高められる機能が求められます。
これから業務で活用するクラウドストレージを選択する際には、ファイル共有の機能に目的や共有相手に応じたアクセス制限などのセキュリティ機能があることを確認しましょう。
まとめ
この記事ではPPAPの概要と問題点、そして代替するファイル送信手段について詳しく解説してきました。代替手段としてクラウドストレージやSNS、そしてメールをそのまま使う方法について紹介しましたが、やはりPPAPの代替手段としてもっとも有効なのが、クラウドストレージを活用する方法です。
クラウドストレージを導入するときに注意したいのが、目的に応じたファイル共有の権限設定が可能であるかどうかです。共有するファイルに必要なセキュリティに合わせて適切な権限設定ができるクラウドストレージを選ぶことで、より強固なセキュリティを維持しつつ、利便性を損なうことなく効率が上がり、自宅からでも、そして外部とも安全にファイル共有が可能になるからです。
まだ自社でPPAPを使用しているのであれば、まずは見直して、その代替手段としてのクラウドストレージの導入を検討してみてはいかがでしょうか。
クラウドストレージについて「より詳しい内容を知りたい」という方は、ぜひ下記のリンクから資料をダウンロードしてみてください。
- クラウドを基盤とした新しい環境の整備
- それに付随するセキュリティ対策
- なぜコンテンツセキュリティが必要なのか
このような情報がまとまっていますので、クラウドストレージ検討中の方はもちろん、情報収集を始めたばかり…という方にもおすすめです。