パスワード付きZIPのパスワードを別メールで送るPPAP。しかし政府の廃止方針やマルウェア被害を受け、その有効性が問われている。本稿では脱PPAPの選択肢と情シスに必要な判断軸を考える。
「PPAPの代替手段を決め切れない」「取引先が対応してくれない」「結局、何が正解なのか分からない」――。
パスワード付きZIPファイルをメールで送り、別メールでパスワードを送る。いわゆる「PPAP」は、日本企業で長年セキュリティ対策として使われてきた。しかし2020年以降、政府による廃止方針の表明や、「Emotet」などのマルウェアによる悪用事例が相次ぎ、その有効性に疑問が突きつけられている。
PPAPを使い続けている企業はなぜ、その運用を続けてきたのか。マルウェア感染や情報漏えいといった事故が発生した瞬間、その運用を「是」と判断し続けてきた理由を、情報システム部門(以下、情シス)はどのように説明すればいいのか。
本稿は、脱PPAPに向けて情シスが検討すべき判断軸と、取りうる代替案を紹介する。
PPAPがこれほど広く定着したのは、現実の運用上、採用しやすい条件がそろっていたからだ。
PPAPは、ZIPファイルにパスワードを設定し、ファイル送付メールとは別にパスワード通知メールを送るだけのシンプルな運用である。特別なツールや環境を用意せず、メールだけで完結する点が特徴だ。全社的なツール導入や教育が不要で、「すぐに実施できるセキュリティ対策」として受け入れられやすかった。
日本企業では、見積書や契約書、案件資料など、重要なファイルをメール添付でやりとりする文化がある。PPAPはこの業務慣習と相性がいい。追加投資をせずに“対策をしている形”を整えやすかった。
一度PPAPが取引先との間で定着すると、自社だけでやめることは難しい。こうしてPPAPは慣習として固定化していった。
情シスの立場から見ると、PPAPには分かりやすい安心感があった。誤送信してもZIPを展開しなければ大丈夫という心理だ。監査や内部統制に対しても説明しやすい。「暗号化して、パスワードは別送です」と言えば最低限の対策をしていることを示せる。
PPAPが疑問視されるようになった転機が、政府による廃止方針の表明だ。民間企業にとっては、長年の慣習に対して公式に疑義が出たことになる。
2020年、内閣府の記者会見で、自動暗号化ZIPファイルを用いた運用を廃止する方針が示された。ポイントは、ZIP送付と同じ経路でパスワードを自動送信する方式が、セキュリティ面で適切ではないという認識だ。これはPPAPが対策として不十分であることを明確に示す指針になる。
1つ目に、ファイルと開封パスワードが同一経路で届く問題だ。メールという同じ経路でZIPもパスワードも届くなら、本質的なセキュリティ強度は高くない。
2つ目に、誤送信対策になっていない点だ。ZIPとパスワードの片方だけが送付されるケースより、両方とも同じ相手に送ってしまう場合がある。
3つ目に、マルウェア対策の効果を発揮しにくい。パスワード付きZIPはそもそもマルウェア検査ができない。
ただし「政府が言うからやめる」では説明として弱い。情シスが重要視しなければならないのは、社内と社外への説明責任だ。「なぜダメなのか」を論理化し、「代替策で何が改善されるのか」を示す必要がある。
PPAPの弱点が現実の被害として理解された背景にはマルウェアEmotetの流行がある。
Emotetはメールを起点に感染を広げるマルウェアとして知られる。業務メールを装った巧妙な手口だ。「過去にやりとりしたことがある相手を装う」「自然な日本語の件名や本文を使う」「添付ファイルを開かせる導線を作る」といった特徴がある。
2022年3月にJIPDEC(日本情報経済社会推進協会)が実施した基調講演でも、パスワード付きZIPファイルはメールセキュリティ製品による内容検査が困難であり、マルウェアを含むファイルの検査をすり抜けやすい形式であることが指摘されている。
NRIセキュアテクノロジーズが2020年11月に公開した公式ブログは、脱PPAPの代表的な選択肢として以下を挙げている。
クラウドストレージを使う場合の利点は、アクセス制御とログ管理にある。期限付きURLやダウンロード制限も有効だ。ただし、便利だからといって誰でも共有できるようにすると別の事故が起きる。そのため共有範囲の設定、権限付与のルールが必要になる。
ファイル転送サービスは、大容量ファイル対応や送信履歴の可視化が強みだ。誤送信時の取り消しができる仕組みがある場合は、事故の影響を抑えられる。
一方、相手に使い方を説明する手間は増える。そのため取引先のITリテラシーが課題になる。
TLS(Transport Layer Security)は通信経路上のデータを暗号化し、盗聴を防ぐ技術である。現在のメール通信の多くはTLSを前提としている。
例えば、メールセキュリティの専門会社クオリティアの「Active! gate」のような製品では、送信時に受信側メールサーバのTLS対応状況を確認する「TLS確認機能」を搭載しており、TLS通信が成立しているかを可視化できる。
送受信間でTLSが確実に実行されていれば経路上の安全性は一定水準で確保されるため、PPAPに依存せずに安全性を担保する選択肢となる。
脱PPAPを進める上で、最も重要なのは視点をどこに置くかだ。
まず守るべき情報資産を整理する。「何が漏れたら致命傷なのか」「漏れた場合の影響はどこまでか」を整理する。
次にリスク対策の優先順位付けを進める。「誤送信対策が優先的に必要なのか」、または「外部共有に目を向けるべきか」。自社のリスクに合わせて対策を考える。
情シスにとって最大の関門は「説明」である。なぜPPAPをやめるのか、代替手段で何が改善されるのかを説明する責任がある。
説明の要点は、現実のリスクに落とすことだ。例えば「検査不能のZIPが減る」、「送付を止められるから誤送信時の影響を小さくできる」などだ。こうした改善点が示せれば、納得感を得やすい。
現実的には段階的な移行を進められるとよい。まず社内から先行導入し、社外での送付は取引先に選択肢を提示する。全取引先を一律に変えるのではなく、リスクを考慮して判断する。
重要なのは一律禁止の宣言ではなく、例外を管理できる設計だ。例外が無秩序に増えると統制が崩れるが、例外が存在しないポリシーでは現場が守らない可能性がある。
PPAPは一部のリスクには対応できるが、現代の脅威には不十分だ。重要なのは情報の価値とリスクに応じた手段選択だ。情シスはツールの是非ではなく、運用と説明の設計で価値を出す役割を担う必要がある。
PPAP問題は、企業のセキュリティとIT活用の成熟度を測る一つの指標でもある。形式に引っ張られず、守る対象とリスクを論理化できるかどうか。そこに情シスの実力が現れる。
Copyright © ITmedia, Inc. All Rights Reserved.
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
