ここ最近、ファイルの送受信のセキュリティ問題がよくニュースでも取り上げられています。その中で「PPAP」というワードをよく耳にするのではないでしょうか。本日はこの「PPAP」について解説していきます。ファイル送受信のセキュリティ対策に世間はどう動き出しているのか、これから対策を始める方も要チェックです。

1. PPAPとは？

PPAPとは「（P）Password付きZip暗号化ファイル送付」、「（P）Password送付」、「（A）暗号化」「（P）Protocol」の頭文字をとっており、一言で言うとパスワード付きZIPファイルをメールで送って、パスワードは別のメールで送るやり取りのことを指します。

このようなパスワードを別に送る方式は、多くの企業で用いられていますが、セキュリティ面において安全とは言い難く、送受信の際には特に受信側にとって手間がかかる点などが指摘されています。

「PPAP」という略称は、大泰司章氏により命名され、彼が一般財団法人日本情報経済社会推進協会に所属していた頃に使われ始めました。2020年に入り、非常に話題になっています。彼は現在PPAP総研を起業しています。

2. 脱PPAPによる世間の動き

このパスワード付きZIP添付によるデータ共有「PPAP」はかねてより問題が指摘されていました。そんな中、2020年11月17日、政府は「文書などのデータをメールで送信するときに使うパスワード付きZIPファイルを廃止する方針である」と、定例会見で明らかにしました。これは政府の意見募集サイトであるデジタル改革アイデアボックスの意見を採用したものです。

実際に2021年1月には日立製作所が廃止の方針であることが日経クロステック（xTECH）によって報道され、ここで「PPAP」というワードが使われたことで一気にSNS上を筆頭に話題が広がったのです。

パスワード付きZIPによるやり取りが頻繁に行われている企業の場合には、たとえ一部の人が安全性に疑問を感じたとしても、なかなか廃止には至らなかったでしょう。取引先がパスワード付きZIPファイルをメールで送ってきた場合でも、やめてほしいとは言い難く、また言っても聞いてもらえなかったなどの経験を持っている人は意外にも多くいます。

しかしこのような動きが本格化してきたことにより、PPAP廃止の動きは多くの企業で広まると言えます。代替手段として考えられることとしては、マイクロソフトチームや、Googleワークスペースなどのグループウェア、クラウドストレージなどを利用したファイル共有が挙げられます。

近年では感染症対策としてもテレワークが推進されていて、テレワーク環境で活用できるグループウェアやクラウドストレージへ移行することは、セキュリティリスクを軽減するといった面からも推進されていくと言えるでしょう。

3. PPAP廃止の加速化

このPPAP廃止の動きが高まったのは、2020年10月にセキュリティ上のリスクが指摘されたことも背景に上がっていると言えます。昨年来、エモテットと呼ばれるコンピュータウイルスなど悪意のあるソフトウェアが世界中で流行しました。エモテットとは、メールの本文などの情報を盗み、関係者の返信などに見せかけたメールを送ることで信用させ、マルウェアを含む添付ファイルを開かせて感染させるというものです。

PPAPで送られる暗号化のファイルは、一般的にGmailなどのクラウドメールサービスのセキュリティチェックやネットワーク上のウィルスチェックを通りません。このようなことから感染すると知らずになりすましメールの添付ファイルを開いてしまうケースがあるのです。これを受けた上で、パスワードが設定されたZIPファイルなどセキュリティ対策ソフトでスキャンできないメールの、添付ファイルなどをブロックするような呼びかけが行われたのです。

4. 企業の取り組み例

PPAP廃止にいち早く対応に動いたのが、クラウド会計ソフトを手がけているfreee（フリー）です。アメリカ政府の注意喚起などを受け、2020年10月から、PPAPのメール受信禁止に向け始動しました。最高情報責任者は、「数年前から不審なZIPファイルを受信したり、それを社員が明けてしまうなどのトラブルがあったけれども実害が出ていなかった。しかしエモテットが爆発的に広がったことで、ブロックできないかと検討を始めた。」と振り返っています。

その後11月になると受信禁止の方針を発表した上で、12月からは実際に受信を禁止しました。利用していた取引先にはZIP辞めてもらうように依頼をし、それでも難しい場合には、取引先のドメインを受信禁止の例外にする申請を行うように社員に要請しました。

freeeの1日のメールの受信状況は調査によると、約11万通だったと言われています。送信元のドメイン数が約1200人にものぼり、この内受信禁止の例外登録を行ったのは200程度です。エモテットのような悪意のあるものの多くは中堅や中小企業の取引先からのメールに多かったことが報告されていて、例外登録したドメインの多くは金融機関をはじめとした大企業であるため、見た目の数以上にリスクを軽減できていると言われています。

5. まとめ

PPAPについて廃止の動きが強まっている背景にはセキュリティの課題だけでなく、業務効率を下げてしまうという点も挙げられています。ファイル一つを開けるために多くの手間がかかってしまうためです。

明確な理由がないまま広がった慣習が、現在では音を立てて崩れていると言えるでしょう。業務効率化のためにできることを考えていかなければなりません。

大手グループウェア、クラウドストレージなどを利用したファイル共有が広まっている中、より、信頼度を上げるために自社独自のファイル共有サービスを取り入れている企業も増えてきています。

6. 大容量ファイルの共有ならShareDriveで！

バイタリフィでは大容量ファイル共有サービス「ShareDrive」を提供しています。

「ShareDrive」は自社専用オンラインストレージ上で簡単・安全にファイルやフォルダの送受信ができるオンラインクラウドサービスです。ページのデザインを会社独自の仕様にカスタマイズできる上に、独自ドメインのためプロモーションを併用することも可能です。

脱PPAPに伴い、お客様とのファイル共有をもっと手軽にしたいという方におすすめのサービスです。

詳しく知りたい方は下記よりお気軽にご相談ください！