長年、メールでのファイル送信といえば「PPAP方式」が一般的でした。ZIPファイルをパスワードで暗号化し、そのパスワードを別のメールで送る、一見すると二重の安全策に見えるこの仕組みは、多くの企業で"常識"として扱われてきました。しかし、サイバー攻撃の高度化が進む中で、PPAPはむしろリスクを増大させる危険な運用となりつつあります。今回は、PPAPが危険とされる理由を解説いたします。
※PPAPとは
パスワード付きzipファイルをメールで送信し、あとから別のメールで解凍するためのパスワードを伝えることをPPAPと呼びます。
P:パスワード付きzipファイルを送信
P:パスワードを別途送信
A:暗号化
P:プロトコル
日本政府がPPAPを廃止した背景
PPAPを巡る議論が大きく動いたのは、2020年に日本政府が中央省庁でのPPAP利用を廃止すると発表したことでした。当時、平井デジタル改革担当相が「メールでパスワードを別送する行為はセキュリティ対策として有効ではない」と明言したことでも話題になりました。
政府が利用をやめた最大の理由は、PPAPが安全ではないことが明確になったためです。具体的には以下の課題があります。
PPAPが危険視される理由
ウイルスチェックを回避できてしまう構造
パスワード付きZIPファイルは暗号化されているため、ウイルス対策ソフトでは中身をスキャンできません。結果として、攻撃者はマルウェアをZIPの中に潜ませることで、セキュリティチェックをすり抜けることができます。実際、攻撃者が“PPAPを悪用した攻撃”を仕掛けるケースが増えています。
メールの盗聴・アカウント侵害に対して無力
PPAPは「パスワードを別メールで送る」ことが安全であるという前提で成り立っています。しかし、実際にはどちらのメールも同じ経路を通過しており、通信経路上で盗聴やメールサーバへの不正アクセスが行われた場合、攻撃者は本メールとパスワードメールの両方を閲覧できます。
つまり、"別送すれば安全"という仕組みは、今の攻撃手法では全く機能しないのです。
手間の割にセキュリティ効果が薄い
PPAPは送る側も受け取る側も手間が多く、利便性を損なっています。パスワードの入力・ZIP解凍・ファイル確認という作業が発生し、特にスマートフォンでは扱いにくいなど業務の妨げになることも少なくありません。それにも関わらず、セキュリティ的な効果は限定的であり、リスクに見合った方法とは言えなくなっています。
社会全体で利便性の高い代替策が普及
近年は、クラウドストレージやコラボレーションツールの普及が進み、PPAPに頼らなくても安全かつ効率的なファイル共有が容易になりました。これらのツールは通信が暗号化され、アクセス権管理も細かく設定できるため、PPAPよりも高いセキュリティを実現できます。
なぜ今、企業もPPAP廃止を進めるべきなのか
政府がPPAPを廃止した背景には、「時代に合わないセキュリティ方式を続けることで、かえってリスクが拡大する」という危機感があります。企業においても、以下の理由からPPAPの見直しが強く求められています。
- サイバー攻撃が年々増加・高度化している
- メールアカウントの侵害が相次ぎ、二重送信の意味が失われている
- クラウド活用が一般化し、PPAPを使うメリットがなくなっている
- セキュリティ基準を更新しない企業は取引先からの信頼を損なう可能性がある
特に取引先とのファイル受け渡しにPPAPを使用している場合、相手先から「セキュリティ意識が低い企業」という評価を受けてしまうこともあります。
推奨される代替手段
企業で広く利用されている代替手段としては以下が代表的です。
- クラウドストレージの共有リンク(期限付きURL)
例:OneDrive、Google Drive、Boxなど
→ アクセス期限、ダウンロード制限、通知などを細かく設定可能 - 暗号化されたメッセージングツールの活用
例:Microsoft Teams、Slack、LINE WORKSなど
→ 通信は暗号化され、権限管理も可能 - ファイル転送サービスの安全な利用
例:大容量ファイル送信サービス(企業向け)
→ セキュリティ要件を満たした製品が増加
まとめ
PPAPは、一時期は有効な対策とされていましたが、攻撃手法と技術の進化によって「安全ではないことが明確になった方式」です。政府がいち早く廃止に踏み切ったのは、その危険性が広く認識され始めた証でもあります。
これからの企業に求められるのは、「昔からのやり方」に縛られず、最新のセキュリティ常識にアップデートすることです。自社のファイル送信方法を見直すことは、情報漏えい防止だけでなく、取引先との信頼維持にも直結します。
株式会社ナカハラでは、純国産のクラウドストレージ「ACE CLOUD BOX」を提供しております。「ACE CLOUD BOX」は、多くの中小企業からのヒアリングを基に、簡単で使いやすいクラウドストレージをコンセプトとして開発されました。ファイル共有はもちろん、共有リンクの発行も可能です。PPAP廃止後の代替えツールに何を使ったらよいか迷われている方は、是非ご活用ください。