ネットコムBB Business Blog

中小企業のIT管理者の皆様へ
DXを丁寧にサポートするサイト

資料ダウンロード お問い合わせ

記事

2022.08.01

脱PPAP対策|パスワード付zipは意味ない?PPAPの問題点や対策方法をご紹介

記事サムネイル

最終更新日:2023.7.21

2021年頃より話題となっているメール送信手法「PPAP」。世間ではこの手法にセキュリティ上の懸念があるとして問題視されており、実際にPPAPを禁止し別の運用に変更することを発表する団体も出てきています。

本記事では、昨今話題のPPAPの概要と有効な3つの対策について解説します。

目次

  1. PPAPとは
  2. PPAPの問題点
  3. 脱PPAPのための対策
  4. 企業間のファイル共有なら「GIGABOX」

PPAPとは

PPAPとは、パスワード付きzipファイルとそのパスワードをメール送信する方式のことで、「パスワード(Password)付きzip」「パスワード(Password)送信」「暗号(Angou)化」「プロトコル(Protocol)」の頭文字をとった略称です。

PPAP.png

多くの場合、zipファイルと解凍用のパスワードを2通のメールに分けて送信します。

PPAPの問題点

主に政府や大手企業ではPPAP廃止の動きが見られますが、PPAPの何が問題視されているのでしょうか。

主な理由としては、セキュリティ上の課題があることが挙げられます。

メールが盗聴される危険性

zipファイルとパスワードを添付した2通のメールは、実は同じ通信経路を通って送受信されます。別々のメールだとしても、悪意のある攻撃者によりメールアカウントが乗っ取られたり、通信が傍受されたりすると、ファイルの暗号化を解除し盗聴される可能性があるため、PPAPの利用は危険です。

パスワード付きzipファイルはウイルス検知ができない

パスワード付きzipファイルでは、ウイルス対策ソフトのチェックをすり抜ける危険性があります。製品によっては中身を確認できるものもありますが、チェックをすり抜け安全かどうか判断できないまま開いてしまうと、ウイルス感染のリスクが高まります。
最近ではEmotet(エモテット)と呼ばれるメールを媒介としたマルウェアが流行しています。メールに添付された不審なファイルを不用意に開く、またメールに記載された悪意のあるURLをクリックすることで感染を広げます。Emotetは非常に強い感染力を持つため、感染拡大を防ぐ意味でもPPAPの利用は危険といえるでしょう。

▼こちらも合わせてご覧ください▼

マルウェア「Emotet(エモテット)」とは?なりすましメールの見分け方と3つの対策をご紹介

誤送信による情報漏えい

前述の通り、PPAPでは解凍用パスワードをzipファイルと別のメールで送信します。これは「パスワードの生成」と、「2通目のメール送信が必要」な2つの手間が発生していました。これらの手間を省くため、自動でパスワード生成と送信を行うサービスが開発され、多くの企業で利用されていました。

しかし、2通目が自動的に送れるようになってしまったため、1通目の時点で誤送信に気づけなければそのままパスワードも送ってしまい、企業にとって重要な機密情報が漏れてしまうというリスクも同時に発生しました。

脱PPAPのための対策

PPAPにはいくつかセキュリティ上の課題があることがわかりました。

では、脱PPAPを進めたいと考えた時、企業はどのような対策を行うべきなのでしょうか。

ファイルとパスワードを別々の手段で送る

PPAPは、パスワード付きzipファイルとその解凍用パスワードを同じ経路(メール)で送ることが問題となっています。そのため、パスワード付きzipファイルはメールで送付し、パスワードは電話で伝えるなどすれば対策となりえるでしょう。

ただし、誤送信してしまうとファイルそのものは関係のない方に渡ってしまうため、万が一パスワードを解析された場合には情報が漏えいしてしまう恐れがあります。

メール以外のチャットツールなどで送る

最近ではメール以外のチャットツールを利用する企業も増えています。チャットツール内でファイルの受け渡しも可能ですので、脱PPAP対策となりえます。

ただし、送りたい相手が同じチャットツールを利用していなければ、そもそも送ることができません。企業によって利用しているチャットツールはさまざまですので、注意が必要です。

オンラインストレージサービスを利用する

対策の中で本命と見られているのが「オンラインストレージサービス」の利用です。共有したいファイルをあらかじめ該当サービスのストレージに格納し、メールやチャットツールなどでそのファイルへのリンクのみを送信します。受信側はリンクをクリックすれば必要なファイルをダウンロードできます。

ファイルそのものをメールに添付せず、万が一誤送信が発生してもストレージ内のファイルを削除すれば、情報漏えいを未然に防ぐことが可能です。

実は文部科学省もPPAP対策としてオンラインストレージサービスを導入したことを発表しています。PPAPによるウイルス被害を食い止めるセキュリティ強化策として導入を決定したようです。

文部科学省「文部科学省における添付ファイル付きメールの運用に関するお知らせ」(外部リンク)

最もセキュリティを重要視するであろう日本の行政機関がこのような発表をしたことは、オンラインストレージサービスへの信頼性を高めると考えられます。

企業間のファイル共有なら「GIGABOX」

GIGABOX.png

本記事ではPPAPの概要や問題点、脱PPAPのための対策方法について解説いたしました。PPAPにはセキュリティ上の課題がありますので、ご紹介した対策をお試しいただければと思います。対策の中でも、利便性が高く誤送信も起きにくいオンラインストレージサービスの利用がおすすめです。

弊社が提供するオンラインストレージサービス「GIGABOXなら、ファイルそのものをメールに添付せずに、ファイルやフォルダーへのリンクを発行し、お客様や社内にデータを共有することができます。

さらに、ファイルやフォルダーごとにパスワードを設定できる機能や、ダウンロード回数の制限、ログイン・ファイルダウンロードした際のログ表示機能など、セキュリティを意識した豊富な機能を搭載しております。GIGABOXがお客様のセキュアなファイル共有をサポートいたします。

GIGABOX製品概要

GIGABOXのサービス紹介資料をダウンロードいただけます。

下記の資料ダウンロードフォームより今すぐダウンロード!

資料ダウンロードはこちら

記事一覧