セキュリティのPPAP方式とは何か? その問題点について解説 | 株式会社リステック

セキュリティのPPAP方式とは何か? その問題点について解説

セキュリティのPPAP方式とは何か? その問題点について解説

「PPAP方式」と呼ばれるメールの送り方をご存知でしょうか。この方式にはセキュリティ上の問題があるとされています。PPAPとは何か、なぜ問題とされているのか、PPAP方式に代わるより安全な手段も含めてご紹介します。

セキュリティのPPAP方式とは

情報セキュリティにおけるPPAP方式とは、zip形式で圧縮し暗号化したファイルをメールに添付して送信し、復号のためのパスワードは別のメールに記して送る、というやり方を指す略語です。この方式は2010年代から日本の企業や組織においてメールで重要なファイルを送るときによく利用されてきました。

PPAP方式は、仮にファイルを添付した最初のメールを間違った相手に送ってしまったとしても、2通目のパスワードを記したメールを送る前に気づけばファイルを開かれることがなく、誤送信対策になると考えられ採用されてきたという経緯があります。また、メールを不正に閲覧された際の対策にもなると認識されていました。

さらに、個人情報を含むファイルを送信する際、PPAP方式を守っていればプライバシーマーク(Pマーク)を取得できるという話が一部で広まっていました。しかし、プライバシーマーク推進センターは、この方式について「従来から推奨しておりません」とのコメントを発表し、企業間に流布されていたその話を否定しています。

PPAPという略し方は、以下の頭文字から取ったものです。

  • P…Password付きZip暗号化ファイルを送ります
  • P…Passwordを送ります
  • A…暗号化します
  • P…Protocol(プロトコル=手順)

この名称はおわかりのとおり、2016年頃に大流行したピコ太郎の楽曲「ペンパイナッポーアッポーペン(PPAP)」にあやかって付けられたとされています。実はパスワード付きzipファイルを送ってパスワードを別送する方法はほとんどセキュリティ対策にはならないという、ある種の揶揄を込めた命名でもあるのです。

政府がPPAP方式を廃止

PPAP方式については、政府もこのやり方を廃止することを明らかにしています。

2020年11月26日から、中央省庁ではパスワード付きzipファイルを送信する方式を廃止し、外部の組織とのやりとりにはストレージサービスを活用するなどの切り替えを実施しました。平井卓也デジタル改革担当相は河野太郎行政・規制改革担当相らとの対話で、「zipファイルのパスワードの扱いを見ていると、セキュリティレベルを担保するための暗号化ではない」と指摘しています。

PPAP方式におけるセキュリティ上の問題点

では、PPAP方式にはどんなセキュリティ上の問題があるのか、項目別に説明します。

パスワードの盗み見を防げるわけではない

ファイルを添付したメールとパスワードを記したメールを2通に分けて送ったとしても、メールが第三者に不正に閲覧されている場合には2通とも見られてしまう可能性が高いといえます。メールを不正な通信経路で傍受されていたら、同じ経路で連続して送信したメールはそのまま読まれてしまうためです。PCが不正アクセスをされた場合も同様です。

ファイルとパスワードを分けて送るなら、パスワードは同じメールアドレスではなく、サブアドレスや携帯電話のメールアドレス、もしくはチャットツールなど別の方法で知らせるほうが安全性は高くなります。しかし、実際には同じメールアドレスに立て続けにパスワードを送ることが一般的な方法として認識されています。

誤送信対策としても効果は疑問

誤送信対策についてはある程度の効果はあるかもしれません。しかし、1通目を間違えて送ってしまったとして、そのあと続けて2通目も同じ間違った相手に送ってしまうこともありえるのではないでしょうか。それなら1通目から誤送を防止するような対策を講じたほうが有意義でしょう。

パスワードが容易に解析される

さらに、問題なのは、実は暗号化されたzipファイルのパスワードは簡単に解析されてしまうという事実があることです。とくによく使用される「ZipCrypt」という方式で暗号化したファイルは、「Lhaplus」などの一般的な圧縮/解凍ソフトで誰にでもパスワードを解析できます。この方法が知られているとパスワードを別送しても意味がありません。

ウイルスチェックをすり抜ける

パスワード付きzipファイルは、多くのウイルス対策ソフトのチェックをすり抜けてしまうのも問題です。このことを利用して、マルウエアをパスワード付きzipファイルにして送るという手法も登場しています。その被害を避けるためにパスワード付きzipファイルを受け取らない設定にしている企業もあります。こうした意味でも、PPAP方式は推奨されない方式となっています。

セキュリティ向上のためのPPAPの代替手段

PPAPに代わる、PPAPよりもセキュリティ強度の高いファイル共有手段としては、ファイル転送サービスやクラウドストレージの利用が考えられます。

ファイル転送サービスの中には、これまでと同じようにメールにファイルを添付して送信するだけで安全にファイルを受け渡すことができるサービスもあります。

たとえば「メールdeファイル」というファイル転送サービスの場合、ファイル添付して送信するとファイルを分離して専用サーバーに保存する機能が備わっています。受信者がそのファイルを受け取るにはパスワードを入力する必要があり、そのURLとパスワードはそれぞれ別メールで受信者に自動的に届けられます。

この方式では受信者が目的のファイルをダウンロードすると送信者に通知が届くので、ファイルが無事に受け渡されたことを確認できます。また、ダウンロード回数や期限も送信者が設定でき、第三者によるダウンロードを防げます。

これらの仕組みにより、安全・確実に、しかも送信する側はこれまでと変わらないやり方で、受信する側も簡単な操作でファイルをやりとりすることができます。代替手段として非常に利用しやすいものだと言えるでしょう。

PPAP方式はこれまで広く利用されてきましたが、今では多くの企業・組織で廃止され始めています。現在もPPAP方式を利用しているなら、もっと安全な方法への切り替えを検討すべきでしょう。代替手段の一つとなる「メールdeファイル」について、より詳しくお知りになりたい方は、ぜひこちらもお読みください。

関連記事はこちら

ファイル添付したメールが送れないときの対処法

ファイル添付したメールが送れないときの対処法

ファイルを添付してメールを送ろうとしたところ、エラーが出て送信できなかったという経験をしたことはないでしょうか。また、送信できてい...

詳細はこちら

仕事の機密情報も送れる? 大容量ファイルを共有する方法とは

仕事の機密情報も送れる? 大容量ファイルを共有する方法とは

ペーパーレス化の推進やテレワークの普及などで、ビジネスで大容量ファイルを共有する機会が増えています。仕事で扱う機密情報の共有につい...

詳細はこちら

ファイル転送サービスは安全なのか? 利用時の注意点と併せて解説

ファイル転送サービスは安全なのか? 利用時の注意点と併せて解説

オンラインで大きなファイル、重いデータの受け渡しをしたいというときに便利な「ファイル転送サービス」。しかし、ビジネスに関わるデータ...

詳細はこちら

ファイル転送サービスのメリット・デメリット

ファイル転送サービスのメリット・デメリット

ファイルを安全にオンラインで送ることができる「ファイル転送サービス」。メールにファイルを添付して送る場合や物理メディアにファイルを...

詳細はこちら

大容量の場合どうする? メールに添付ファイルを付けるときのサイズ目安

大容量の場合どうする? メールに添付ファイルを付けるときのサイズ目安

メールにファイルを添付して送るとき、しばしば問題になるのがファイルの容量(ファイルサイズ)です。どれくらいの容量なら添付して送って...

詳細はこちら

パスワード別送の意味はあるのか? 添付ファイル付きメールの安全性

パスワード別送の意味はあるのか? 添付ファイル付きメールの安全性

添付ファイルを暗号化してメールで送るとき、パスワードは別送するというやり方が多くの企業で習慣化しています。しかしこのところ、このや...

詳細はこちら

パスワードを設定してファイルを圧縮(暗号化)する方法

パスワードを設定してファイルを圧縮(暗号化)する方法

パスワードを設定してファイルを圧縮する方法があるのをご存知でしょうか。Windowsでよく使われるzipファイルも暗号化することが...

詳細はこちら

パスワード付きの暗号化zipファイルの安全性

パスワード付きの暗号化zipファイルの安全性

パスワード付きの暗号化ファイルをメールに添付して送り、パスワードを別送するというやり方の安全性が問題になっています。すでに多くの企...

詳細はこちら

政府がパス付きzipファイルを廃止? 今後のファイル共有方法はどうすべき?

政府がパス付きzipファイルを廃止? 今後のファイル共有方法はどうすべき?

パスワード付きzipファイルをメールで送り、パスワードも別のメールで送信してファイルを共有する……というやり方は、ビジネスシーンに...

詳細はこちら