【脱PPAP】パスワード付きZipファイルをやめるべき理由とその代替策は?
2024/09/27
ネットワークセキュリティ
-
真地 小真理
まあぢ こまり
- 部署管理部
- 性格日々アナログな業務や、無茶ぶり上司に困っている。
-
寄添 ます美
よりそえ ますみ
- 部署営業部
- 性格抜群のセンスと直観力がある。OSPを業務改善へ導く。
-
沖楽 部長
おきらくぶちょう
- 部署管理部 上司
- 性格システムが分からないゆえに悪気なく無茶ぶりをする。
※この登場人物は架空の人物です。実在するOSP社員ではありません。
企業間でファイルデータを共有する際、パスワード付きZipファイルを送信している方も多くいらっしゃるのではないでしょうか。
この方法は「PPAP」と呼ばれ、かつてはセキュリティ対策として広く信じられていました。
しかし、セキュリティの脆弱性やIT技術の進歩に伴い、PPAPの有効性が疑問視されるようになり、2020年11月には日本政府がPPAPの全面廃止を発表しています。
本コラムでは、PPAPの概要やその問題点、そして有効な代替策まで解説していきます。
ネットワークセキュリティを正しく理解し、ファイルデータ共有のセキュリティ対策にお役立てください。
目次
PPAPとは
PPAPとは、「1通目パスワード付きZipファイルをメールで送信し、2通目メールでパスワードを送信する」というファイルの共有方法です。
次の頭文字を取ってつけられた造語です。
- P=パスワード(Password)付きZipファイルを送る
- P=パスワード(Password)を送る
- A=暗号化(Angouka)する
- P=プロトコル(Protocol)※データ通信を行うために定めた規約
一見、合理的に見えるこの方法は、2011年頃から政府や多くの企業で実施されてきましたが、時代の進化とともに大きな問題点が浮き彫りになってきました。
PPAPをやめるべき理由
PPAPが普及した背景には、誰にでも手軽に実施できる手法というメリットがありましたが、現代のセキュリティ対策には対応できていません。
①情報漏えいのリスクがある
PPAPは、パスワード付きZipファイルとパスワードのメールを別々に送ることでセキュリティが向上すると考えられていました。
しかし、両方のメールは同じ通信経路を通過することがほとんどで、もし1通目のメールが盗聴されてしまえば、2通目も高確率で盗聴されてしまうということです。
つまり、第三者がメールサーバー自体を盗聴していれば、分けて送信することはセキュリティ対策にならないのです。
②パスワードが簡単に見破られる
Zipファイルの暗号化方法は、「ZipCrypto」と「AES-256」の2種類です。
一般的にZipファイルで使われていることが多い「ZipCrypro」は、解析ツールを使えば簡単にパスワードの解析ができてしまいます。
強度がより強いとされている「AES-256」という暗号方式もありますが、Windowsの標準機能として解凍が出来ないため利用ハードルが高く、あまり普及していません。
よって、本来の「第三者に内容を読み取られないようにする」という意味でのセキュリティ効果は期待できません。
③ウイルス感染のリスクがある
PPAPの大きな問題点は、ほとんどのウイルス対策ソフトがパスワード付きZipファイルの中身をチェックできないことです。これにより、マルウェアが含まれているかどうか検出できず、ウイルス対策の網をすり抜けてパソコンや社内ネットワークを感染させる危険性があります。
万が一マルウェアに感染した場合、取引先やお客様に対して自社を装い、マルウェアを含んだZipファイルが送られてしまう可能性があります。受信者は、信頼できる送信元からのファイルだと、警戒せずに開封してしまうことが多く、その結果、感染が広がってしまうのです。
実際、このセキュリティリスクが、過去にエモテットの大流行を招いた要因の一つです。
④誤送信対策としては効果が薄い
PPAPは、誤送信というヒューマンエラーに弱いという問題があります。
暗号化ファイルのみを誤送信した場合、確かにファイルにパスワードがかかっているため、PPAPは有効です。
しかし、多くのユーザーは、先に送信したメールの宛先を再確認することなく、すぐ二通目も同じ宛先に送信してしまいます。
そのため、誤送信に気付く可能性は低く、パスワードを設ける意味がないことは明らかです。
⑤スマートフォンに対応していない
近年では、パソコンだけではなくスマートフォンやタブレットを利用して仕事を行うユーザーも多くいます。
PPAPで送られたZipファイルはスマートフォンなどで開くことが難しく、現代の働き方に適していないことも問題視された一つです。
国内でPPAP廃止が加速
これらの問題により、2020年11月に当時のデジタル改革担当大臣は、内閣府および内閣官房でPPAPの廃止を表明しました。
日本政府によるPPAP廃止の発表は、民間企業のセキュリティ対策にも大きく影響を与え、大企業を中止にPPAPの完全廃止する旨を決定・発表しています。
脱PPAPを表明した大手企業
ソフトバンク/NTTデータ/日清食品ホールディングス/NEC
伊藤忠テクノソリューションズ/日立製作所/富士通/日本IBM など
また、政府の発表と同時期に、プライバシーマーク制度の運営団体も「以前からPPAPは推奨していない」と発表しました。
PPAPを使うのは日本のみで、国際的なセキュリティ基準との乖離も問題視されていました。
むしろ、海外ではZipファイル付きメールはウイルスの可能性を疑われてしまい、受信拒否をされてしまいます。
このような問題点から、PPAPは徐々に衰退していき、新たなファイル共有方法がとられるようになりました
【脱PPAP】ファイル共有の代替策
脱PPAPの流れを受けて、現在では主に4つの代替策が取られています。
①クラウドストレージ
クラウドストレージは、簡単かつ安全性の高い環境でファイルの共有が可能です。
ユーザーやグループが管理されたクラウド上にファイルをアップし、共有URLを送信してダウンロードしてもらうことができます。
この方法は、インターネットに接続さえしていれば、スマートフォンやタブレットからもアクセスでき、場所や時間を問わず自由に利用できることがメリットです。
このクラウドストレージを用いたファイル共有は、安全性が高く、文部科学省でも代替案としても導入されています。
特に大手のクラウドストレージサービスを利用すれば、データの暗号化や二段階認証、細かいアクセス制限の設定が可能で、不正アクセスのリスクを最小限に抑え、企業のセキュリティ対策をより強固にすることができます。
②チャットツール(グループウェア)
チャットツールは、コミニケションの延長線上でスピード感のあるファイルのやり取りが可能です。
ビジネスシーンでチャットツールを利用している企業も多く、リアルタイムなコミュニケーションとファイル共有ができます。
また、チャットツール自体に高いセキュリティシステムが導入されているケースが多いことや、重要な情報にはアクセスできるユーザーを限定できることもメリットです。
ただし、チャットツールは双方でアカウントを持っていることが必要であるため、外部の人への共有は難易度が高いでしょう。
③ファイル転送サービス
ファイル転送サービスは、特定のサイトにファイルをアップロードし、発行されたURLを相手に送るだけでファイルの共有が可能です。
手軽に利用でき、メールに添付できない大容量のデータを共有できることがメリットです。
このサービスは、アップロードされたデータが一定期間だけ保管されるのが特徴で、期限を超えてしまうとデータが削除されます。
インターネット上で大量のファイルを送受信する手軽な方法ですが、無料で使えるサービスはデータの盗聴などのセキュリティリスクも伴います。重要な情報をアップロードする場合は、通信内容が暗号化されるサービスを選ぶことが重要です。
④メールセキュリティシステム
メールセキュリティシステムを導入すると、従来のメールの操作方法を変えることなく、より高いセキュリティでファイル共有が可能です。
メールセキュリティシステムは、添付ファイルを送信すると本文から自動的に切り離し、ファイルはサーバー上に保存され、受信者にはダウンロードURLに置き換えられて送信される仕組みです。
同一通信経路による盗聴リスクを抑えるために、ダウンロード用のパスワードが1通目とは別の経路で受信者に送られます。受信者はこのパスワードを使用して、安全にファイルをダウンロードできます。
さらに、多くのメールセキュリティシステムには誤送信防止機能が備わっており、万が一誤送信した場合でも、一定時間内であれば送信を取り消すことが可能です。
このように、メールセキュリティシステムを導入することで、ファイル共有のセキュリティ強化だけでなく、誤送信防止や危険なメールの自動削除など、メール業務全体のセキュリティ対策において非常に効果的です。
代替案の比較表
PPAPと各代替案を比較すると下記のとおりです。
PPAP | クラウドストレージ | チャットツール | データ転送サービス | メールセキュリティシステム | |
通信の盗聴防止 | × | 〇 | 〇 | △ | 〇 |
ファイルの誤送信対策 | × | × | 〇 | × | 〇 |
受信時のウイルスチェック | × | × | × | × | 〇 |
使い勝手 | △ | 〇 |
△ アカウントを保持しているユーザーのみ |
〇 | 〇 |
まとめ|【脱PPAP】パスワード付きZipファイルをやめるべき理由とその代替策は?
PPAPは一時的に便利なファイル共有方法として広まりましたが、現在では多くのセキュリティリスクを抱えています。
企業には、すでに時代遅れとなったPPAPから脱却し、より安全で効率的なファイル共有方法を導入することが求められています。万全なセキュリティ対策を講じて情報資産を守ることは、今後のビジネス運営において欠かせません。
本コラムでご紹介したクラウドストレージやチャットツール、ファイル転送サービス、メールセキュリティシステムなどの代替策を活用することで、情報漏えいやマルウェア感染のリスクを大幅に軽減できます。
オフィスシステムプロダクトはファイル共有のセキュリティ対策についてのご相談も承っております。貴社に最適な解決策をご提案いたしますので、お気軽にお問い合わせください。
人気記事ランキング
-
OSP業務改善への道
2022/12/13 🆙2024/06/20
【作業効率が42%アップ⁉】モニターを2画面にしてデスクワークを快適にした話
41500 Views
-
オフィスソリューション
2022/10/07 🆙2024/11/01
【外回りが多い方必見!】持ち運びに最適なノートパソコンのサイズは?
29655 Views
-
オフィスソリューション
2024/10/18
【企業向け2024年版】Officeアプリはサブスクと買い切りどっちがいい?
29248 Views
-
OSP業務改善への道
2022/06/30 🆙2024/06/20
【デキる人は使ってる!】便利なWindowsショートカットキー+マウスのコロコロ...
21822 Views
-
kintone
2022/08/01
【第9羽】電話の伝言メモまだ紙でやってない?伝言メモもデジタル化しよう!
8337 Views
-
オフィスソリューション
2022/02/15
【実は危険】オフィス内のゴチャゴチャ配線は思わぬトラブルに! 配線整備の重要性と...
7892 Views
-
ネットワークセキュリティ
2022/07/22 🆙2022/11/04
クラウドストレージとNASはどちらを選ぶ?法人利用で重視すべきポイント
6755 Views
-
オフィスソリューション
2022/07/14
【法人パソコンの寿命は何年?】買い替え時期と寿命を長くするコツ
4568 Views
-
オフィスソリューション
2022/02/02 🆙2024/05/23
オフィスでWi-Fi構築をする際の注意点!法人用と家庭用の違いは?
4046 Views
-
ネットワークセキュリティ
2024/09/27
【脱PPAP】パスワード付きZipファイルをやめるべき理由とその代替策は?
3699 Views