PPAPって何?問題点と解消策をご紹介!
お客様や取引先とのやり取りで幅広く活用されている「パスワード付きzipファイル」。
別名PPAPとも呼ばれます。
昨今、このPPAPの手法について様々な懸念点があげられ、2020年には政府がPPAPの廃止を発表。
本記事ではPPAPについて、問題点、セキュリティリスク、政府がなぜPPAPの廃止を発表したかの理由、PPAPの代替案などをご紹介いたします。
目次[非表示]
- 1.PPAPとは
- 2.PPAPの問題点
- 2.1.ZIPの暗号強度の脆弱性
- 2.2.情報漏洩のセキュリティリスクが考えられる
- 2.3.ウイルス感染のリスクがある
- 2.4.受信者側の業務効率の低下する可能性
- 3.PPAP廃止への動き
- 4.PPAPの代替案
- 4.1.ファイルとパスワードを別々の経路で送る
- 4.2.S/MIMEでファイルを送信する
- 4.3.クラウドストレージを利用する
- 5.DropboxではじめるPPAP対策
- 6.まとめ
PPAPとは
PPAPとは暗号化したパスワード付きのファイルをメールに添付し、その後別送でパスワードを送付するセキュリティ対策を兼ねたファイル送付方法です。
PPAPの語源は「Password(P)付きZipファイルを送ります。」「Password(P)を送ります」「暗号化(A)」「Protocol(P)」の頭文字をとった言葉からできています。
PPAPの問題点
ZIPの暗号強度の脆弱性
Zipの暗号化方式はZipCryptoとAES-256の2種類があり、比較的暗号の強度が高いのはアメリカ政府が標準で使用するAES-256の方式になります。
そして日本ではZipCryptoが一般的に利用されていますが、暗号強度が弱く、短時間で解読される可能性がある点が問題視されております。
情報漏洩のセキュリティリスクが考えられる
PPAPに関して、広く運用されているデータ送付方法になりますが、実は完全な情報漏洩対策としては機能していないという事がこの後ご紹介する政府がPPAP対策を廃止した理由の1つでもあります。
例えばPPAPにおいては、送信するメール自体が暗号化されていないので、パスワードが第三者に知られてしまった場合、その人はZipファイルの中身を見ることができます。
また、パスワード強度が低いと総当たり攻撃や辞書攻撃によって破られる可能性があります。
このように、パスワードの漏洩やパスワードの解析などのリスクが完全に排除できない点も問題視されており、その為本項の冒頭でも記載した通りPPAPは、完全な情報漏洩対策としては言えません。
ウイルス感染のリスクがある
PPAPはウイルスに対する脆弱性が高いことも大きな問題です。
懸念される理由として破壊攻撃やデータの抜き取りをするマルウェア感染のリスクもあります。
例えばウイルス対策ソフトを導入している場合、通常のZipファイルは解凍され、その際にウイルスチェックがされますが、ソフトによってはウイルスチェックを回避してしまう場合もあります。
また、最近ではパスワード付きのZIPファイルを添付したEmotetの攻撃メールも確認されています。
セキュリティ製品の検知・検疫をすり抜け、受信者の手元に攻撃メールが届いてしまう確率が高く注意が必要です。
受信者側の業務効率の低下する可能性
PPAPはセキュリティリスクのリスクの懸念以外に、Zipファイルを受け取った側の手間を増やすことも問題です。
受け取った方がパスワードを入力し、Zipファイルを解凍する手順を踏まなくてはならず、1,2通のZipファイルなら受け取った方へ大きな負荷をかけることはないかと思いますが、複数のZipファイルでやり取りする場合は受け取った方の負荷が大きくなる可能性も考えられます。
また、送信者がパスワードの送付を忘れてしまった場合、受け取った方が送信者に催促するなどの手間が発生する可能性もあるなど、PPAPのフローは受信者側にも負荷が発生する可能性があることにも考慮すべきです。
PPAP廃止への動き
政府の発表
2020年11月、当時のデジタル改革担当大臣が「自動暗号化ZIPファイルを廃止」の方針について発表し、内閣府ならびに内閣官房でPPAP廃止をすることを表明しました。
記者会見は大きな話題となり、2022年1月には内閣府・内閣官房に続いて、文部科学省でもPPAPの廃止が発表され、脱PPAPを宣言する民間企業が続くなど大きな影響を与えました。
政府がPPAP方式を禁止した理由
前項でも記述したように、デジタル改革担当大臣がPPAPの利用を廃止する方針を発表しました。
この決定は「デジタル改革アイデアボックス」というサイトに寄せられた多数の意見を参考にしています。
理由としては前項にも記述したように、情報漏洩のセキュリティリスク、暗号強度の脆弱性、ウイルス感染のリスクなどの看過できない懸念点が孕んでいることに大きな原因があります。
また、内閣府は外部に重要なファイルを送る際は、内閣府のクラウドサービスを利用すると併せて発表しています。
企業側の対応
政府の発表を機に、民間企業でのPPAPの利用を廃止する動きも加速しています。
大手企業もPPAPの廃止を発表しており、今後も企業規模問わず民間企業におけるPPAP廃止の動きは加速していくかと思われます。
PPAPの代替案
ファイルとパスワードを別々の経路で送る
比較的すぐに実践しやすいのが別々の方法でファイルとパスワードを送付する方法です。
Zipファイルの方は今まで通りメールで送付していただき、パスワードはチャットなどでお知らせいただく事で、例えば攻撃者はzipファイルとパスワードの両方を入手することが困難となるため安全性が高まります。
S/MIMEでファイルを送信する
S/MIMEは電子メールのセキュリティを向上する暗号化方式のひとつで、電子証明書を用いてメールの暗号化とメールへの電子署名を行うことができます。
前述のようにメール自体は暗号化されているので解読されないうえ、電子署名を併せて活用することで、送信者の身元を証明し、なりすましや改ざんを防ぐことが可能となります。
ただ、S/MIMEでファイルでのやりとりは送受信者の双方でS/MINEへの対応が必要になるためコスト面、運用面で負荷がかかることも考えられます。
クラウドストレージを利用する
PPAPの代替案としてクラウドストレージを利用することは文部科学省でもPPAPに代わる対応方法してとして採用されています。
クラウドストレージを利用することでセキュアな環境でファイル共有ができ、Zipファイルとは違いパスワードを設定する手間も不要です。
また、外出先でもスマートフォンやタブレットを使用して、時間・場所を問わず、ファイルへのアクセスが可能となります。
DropboxではじめるPPAP対策
Dropboxをご存じでしょうか?
Dropboxはクラウドストレージサービスとなり、2007年の設立依頼現在全世界180か国で利用さていて、無料版有償版併せて6億人以上のユーザーが利用しているクラウドストレージサービスです。
また、Dropboxはクラウドストレージ サービスとしての利用だけではなく、前項でもご紹介したようにDropboxはセキュアな環境で様々な方法でファイル共有が可能です。
共有相手の方がDropboxのアカウントをお持ちの方であれば、ファイルサーバーのようにアクセス権限を付与して共有することも可能でアカウントのない方でしたらDropboxに保存しているファイルに対してリンクを発行していただければ、リンクベースでファイルを共有相手に渡すことが可能です。
以下資料にて本項でご紹介した内容がより分かりやすく記載されていますので、是非ご覧くださいませ。
■Dropbox で始める「脱 PPAP」
まとめ
いかがでしたでしょうか?
昨今、急速に利用廃止の流れが強まっている脱PPAP。
本記事でもご紹介したように様々な代替案もございます。その中でもおすすめなのがクラウドストレージサービスを利用した運用です。
セキュアな環境でデータの管理ができる他、共有したいファイルに対し専用のリンクを発行しリンクベースで相手にデータの送信ができるなど様々な共有方法がございます。
本記事でご紹介したDropboxは弊社でもお取り扱いがございます。
また、トライアル環境も提供可能で、ご不明点などに対応するトライアルサポート事務局も併設しており、トライアル期間中のみお客様のサポートをさせていただきます。
充実のサポートも兼ね備えておりますので、もし気になられた際はDropbox相談センターまで
お気軽にお問い合わせくださいませ。
