政府や大手企業が次々に廃止を表明する「PPAP」-禁止すべき理由とは?

2022.09.09

政府や大手企業が次々に廃止を表明する「PPAP」-禁止すべき理由とは?

PPAPとは?

PPAPとはファイルの受け渡しをメールで行う際に、「暗号化したZIPファイルを送信してから別のメールでパスワードを送る」という手法のファイル共有方法を指します。

 P:パスワード(Password)付きZIPファイルをメールで送信する

P:パスワード(Password)を別のメールで送信する

A:暗号化(angouka)

P:プロトコル(Protocol)

 の頭文字をとった言葉です。

PPAPを用いたファイル共有は、個人情報やリリース前の情報など機密性の高い情報を守るために、多くの企業が採用していた方法です。

暗号化されたファイルなら、パスワードを知らなければ通信経路上で盗聴された場合や誤送信された場合でも、内容を知られることはない、という考えから広まり、今まで定着してきました。

しかし、PPAPを運用していくうちに、いくつかの問題点が浮き彫りになり、セキュリティ専門家の間では「情報漏えい対策としての有効性はほとんどない」というのが定説になっています。

PPAPを禁止すべき理由|政府・名づけの親・JIPDECの見解

PPAPを禁止すべき理由|政府・名づけの親・JIPDECの見解

政府は「PPAP廃止」を発表

PPAPはセキュリティ対策の観点や受け取る側の利便性としても問題が多いとされていましたが、2020年11月に内閣府・内閣官房から廃止の発表がありました。

この発表から、企業がPPAPを廃止する動きが活発化していきます。

平井内閣府特命担当大臣は11月17日に「中央省庁の職員はPPAP方式を使ってはならない」という方針を打ち出し、同月24日に記者会見を開き、下記のように発言しています。

 

『ZIPファイル送信、送付と同じ経路でパスワードを自動で送る方式については廃止するということを促したいと思っています。』

引用元:内閣府 大臣記者会見要旨 令和2年11月24日

このように、平井内閣府特命担当大臣は質疑応答の中でも「セキュリティ上、今のZIPファイルとその運用というのは非常にまずく、かえって危険性が高い」と答えています。

PPAPの名づけの親も警鐘を鳴らしていた

PPAPの名づけの親であり、PPAP問題の第一人者である大泰司章氏は、PPAPを有効なセキュリティ対策ではないと訴えています。

大泰司章氏は、日本情報経済社会推進協会(JIPDEC)に所属後にPPAP総研を立ち上げ、情報セキュリティや保護などを対象にしたコンサルティングに従事している人物です。

PPAPが情報漏えいを防ぐ手段としてセキュリティ対策の定番として広まっていた頃、その脆弱性についての議論も同時になされるようになりました。

多くの有識者やネットユーザーも同様にPPAPの脆弱さを問題視し始めます。

そうした中で、PPAPの欠陥の総称として「PPAP問題」という言葉が誕生しました。

JIPDECでさえ否定するPPAP

一般財団法人日本情報経済社会推進協議会(JIPDEC)は、機密性の高い情報ファイルなどをメールで送信する際に、ファイルを暗号化して添付し、そのパスワードを別メールで送信する行為は推奨していないと明言しました。

JIPDECとは事業者の個人情報の取り扱い体制を評価する「プライバシーマーク制度」を運営している公的機関で、個人情報の適切な取扱い企業としての証明になる「Pマーク」を審査・認定する機関です。

PPAP方式を利用していればプライバシーマークを取得できる」という定説が世間に出回ってきたころ、JIPDECは「プライバシーマーク制度ではPPAP方式を推奨していない」という旨の文章をホームページに掲載しました。

ここで、「PPAP方式を採用していればセキュリティ対策は万全」という安全神話は崩れたのです。

 PPAPを禁止すべき理由|PPAPはセキュリティリスクを増大させている

PPAPの大きな問題点は、セキュリティリスクを増大させていることです。

 PPAPを禁止すべき理由1:情報漏えいの可能性

PPAP問題の中で最大のリスクは、メールの内容が盗み見されて情報漏えいが起こる危険性があることです。

PPAP方式では、「暗号化されたzipファイル」と「ファイル内容を見るためのパスワード」を2通に分けて送信します。

この2通が同じネットワークを利用している場合、ネットワーク自体を盗聴できる人には両方のメールを盗み見ることができます。

2回に分けて情報を送るから大丈夫」という考えがPPAP活用の誤解で、PPAP方式の利用者は多くの場合、同じ発信元から同じ送信先へと続けざまにメールを送るため、傍受者は2通のメールを関連付けることは難しくありません。

 それならばと、Aさんが「暗号化されたzipファイル」を送信し、向かいのデスクにいるBさんが「ファイル内容を見るためのパスワード」を別で送信しても、基本的に社内統一のネットワークでつながっていれば、悪意ある第三者による通信傍受が可能になってしまうのです。

 PPAPを禁止すべき理由2:PPAPはウイルスチェックが稼働できない

PPAPはウイルスに対する脆弱性が高く、マルウェア感染のリスクが大きいことも問題です。

根本的に「暗号化されたzipファイル」は、一般的なウイルス対策ソフトのチェック機能をすり抜けてしまいます。

「暗号化されたzipファイル」を「ファイル内容を見るためのパスワード」を使って解読した場合、その情報にウイルスが感染していれば、受信者のパソコンを脅威にさらしてしまう危険性があります。

 2019年11月末ごろにメディアで取り上げられた「Emotet(エモテット)」と呼ばれるマルウェアの被害は、世界中から報告されています。

このマルウェアは、パスワード付きzipファイルの中身をウイルスチェックできないといった弱点を狙ったウイルスソフトで、2021年1月に欧州刑事警察機構(Europol)による大規模な対策が取られました。

しかし、2021年11月に活動再開が確認され、日本国内ではEmotet感染が増加しています。

Emotetに感染すると、マルウェアにも感染しやすくなるほか、重要な情報を盗み取られたり不正なファイルをダウンロードさせられたり、デバイス自体が使用不可になるケースもあります。

 PPAPが定着した理由

PPAPが定着した理由

PPAPが定着した理由には、主に3つが考えられます。

PPAPのガイドラインは誤解釈されている

PPAPによって機密情報は守られている」とPPAP方式を慣例のように使ってきた多くの企業は、ガイドラインそのものを誤解釈して使用してきました。

1.暗号化されたzipファイルを作成して先方へ送信

2.ファイルのパスワードを別メールで先方へ送信

この2段階の作業を行うことで、「情報漏えいは起きない。安全だ」と信じていました。

この解釈が問題で、機密性の高い情報を共有する際の運用方法は、2で行うパスワード発信を電話での口頭伝達やFAXによる送付など別チャネルで伝達することが正しいPPAPの方法なのです。

しかし、PPAPを運用する中で安全性よりも運用コストの削減に目が向けられ、いつのまにかメールを分けて送信すれば安全性は保てると誤解釈されていきました。

そして、多くの人が「別ルートでパスワードを伝える」という部分を認識しないまま、PPAP方式に慣れてしまったのでしょう。

 労力やコストがかからない

PPAP方式は上記のように誤解釈された方法なら、機密性の高い情報を共有する際の作業がとても楽になります。

zipファイルの暗号化や別メールでパスワードを送信する作業だけで情報漏えいが起きないのなら、どの企業も採用するでしょう。

労力やコストをかけずに「セキュリティ対策ができた」と思い込み、運用を続けた結果、PPAPが定着していき脱却が遅れているのです。

 プライバシーマークの流行の影響

PPAPが定着し広まった背景には、プライバシーマーク制度もかかわっています。

2005年に個人情報保護法が全面施行されてから、企業にとってセキュリティ対策は重大なテーマになり、機密情報の取扱いは慎重に扱わざる負えなくなりました。

そこで、顧客や取引先からの信用を得るため、個人情報の適切な保護措置を講じていると認められた事業者が使用できるプライバシーマーク(Pマーク)を取得したいと多くの企業が考えます。

一方、急速に拡大したプライバシーマーク制度を求めるマーケットには、知識不足の人も多く参入しており、一部企業が間違ったセキュリティ対策に走り始めたのです。

 その結果、「PPAP方式なら情報漏えいは起きない」という定説の元、メールでの運用が一般化されPPAPが定着した現状の体制を作り上げたようです。

 PPAPの代替案

PPAPの代替案

PPAPを廃止した後に代替案を導入する際は、自社に合った代替案の選定が重要になり、充分な準備期間が必要です。

クラウドストレージでファイルを共有

PPAPの代替案になる方法の一つが、クラウドストレージでファイルを共有する方法です。

クラウドストレージはオンライン上にファイルを保存できるサービスのことで、オンラインストレージともいわれています。

 クラウド上にあるファイルを、取引先や社内エンジニアなど権限のある人たちで共有することにより、取引先や社内でのファイル共有が安全かつスピーディに行うことができます。

在宅勤務やリモートワークの推進を図れ、プロジェクトチーム内での共同編集作業が活性化するので、クオリティが高くなることも期待できます。

アクセス権限の付与選択により受信者が閲覧できる範囲を制限できるため、セキュリティ面でも安心につながるでしょう。

 まとめ

政府や大手企業が次々に廃止を表明する「PPAP」-禁止すべき理由とは? まとめ

PPAP問題は、もともとセキュリティに意識が高いネットユーザーの間では常識化していきました。

しかし、政府が「PPAP廃止」を発表するまで、慣れ親しんだ手法を利用し続けたエンジニアも少なくなかったといえます。

今では、政府関係者や公的機関が次々に問題を指摘したことで、PPAP方式の欠陥は一般層にも認知されるようになっています。

PPAPは情報漏えいの可能性があり、セキュリティリスクを増大させていることから、実務作業を行うエンジニアにとってセキュリティ対策は重要なポイントといえるでしょう。

早い段階でクラウドストレージ活用などの代替手段を選定し、業務のインフラ整備を進めることをおすすめします。

★以下の記事もよく読まれています。

人材不足でお悩みの企業様へ

IT業界では長年課題となっている「慢性的な人材不足」と「案件の低単価化」…

この課題を解決するBtoBマッチングサービスがあるのをご存じですか?

その名も「ふるリモエンジニア」。

ふるリモエンジニア」は、フルリモート案件に特化し、システム開発案件を発注したい企業と受注したい企業を直接つなげることで、全国から開発リソースの確保することが可能になります。

人材不足でリソースを確保したい

リソース不⾜が原因で、 相談や依頼のあったシステム開発の受注を断念した経験はありませんか?

ふるリモエンジニア」では、開発体制の⼀部をフルリモート化することで、全国の実績豊富な開発企業と協業体制を築きます。

人材不足、リソース不足でお困りの企業様はぜひ一度ご相談ください。(詳細はコチラ)

発注企業様向けに新しく『Freeプラン』をリリースいたしました。

今だけ『初期費用0円キャンペーン』実施中のため、「完全無料」で当サービスの利用を開始していただけます。

ぜひ、この機会に「ふるリモエンジニア」へお申し込みいただき、サービスをお試しください。

※案件のご掲載をご希望の場合は、有償プランへのアップグレードが必要となります。

エンジニアをお探しの企業様へ フルリモート開発で人材不足を解決!まずは資料請求してみませんか?

案件を獲得したい

ふるリモエンジニア」は、システム開発を依頼したい企業と直接つながることができるBtoBマッチングサービスです。

フルリモート案件に特化することで、全国どこでも開発が可能となり、いままで断念していた案件の獲得も可能となります。

案件を獲得したい企業様はぜひ一度ご相談ください。(詳細はコチラ)

案件をお探しの企業様向けに『お試しキャンペーン』を実施しております。

キャンペーン期間中は、エンジニア登録2名様まで「完全無料」で当サービスをお試しください。

ぜひ、この機会に「ふるリモエンジニア」へお申し込みいただき、サービスをお試しください。

※3名様以上のご登録をご希望の場合は、有償プラン月額11,000円へのアップグレードが必要となります。

お試しキャンペーン

フルリモートに特化した開発案件が見つかる!まずは資料請求してみませんか?

アバター画像

ふるリモ編集部

ふるリモメディア編集メンバーが不定期で更新します。
システムエンジニア業界と社会の動向から今話題の最新トピックまで、わかりやすく紹介します!

関連記事Related article

おすすめ記事Recommend

ジャンルから記事を探すSearch by genre

カテゴリから記事を探すSearch by category

案件をお探しの企業様へ フルリモートに特化した開発案件が見つかる「ふるリモエンジニア」のサービス詳細はこちら案件をお探しの企業様へ フルリモートに特化した開発案件が見つかる「ふるリモエンジニア」のサービス詳細はこちら
エンジニアをお探しの企業様へ ふるリモエンジニアならBtoBでエンジニアの⼈材不⾜を解決!サービス詳細はこちらエンジニアをお探しの企業様へ ふるリモエンジニアならBtoBでエンジニアの⼈材不⾜を解決!サービス詳細はこちら