ファイル共有手段「PPAP」とは?

普段ファイル共有をどのようにおこなっているでしょうか?
多くの方は従来情報漏洩対策として使われてきた「メールに暗号化ZIPファイルを添付し、後から暗号化解除のためのパスワードの記載されたメールを送信する」という手段を使用したことがあるのではないかと思います。あるいは現在も使用しているのではないでしょうか。

この手段は一般的に「PPAP(ピーピーエーピー)」と呼ばれ、多くの企業や官公庁でも従来から情報漏洩対策として導入されていました。

PPAPとは…(メールで暗号化zipファイルを送信し、後からパスワードメールを送信する)
P:Password付きZIPファイルの送付
P:Passwordの送付
A:Angoka(暗号化)
P:Protocol(プロトコル:手段)

「PPAP」といえばピコ太郎氏の「ペンパイナッポーアッポーペン」が一番に思い浮かびますが、実際に現在IT業界で使われている「PPAP」も、ITコンサルタントの大泰司章さんにより、まさにピコ太郎氏のPPAPにあやかってつけられた名前のようです。

しかし、近年ではPPAPの情報漏洩対策としての効果が薄いことや、むしろそこにリスクが多いことが問題視され、反対の声も上がっていました。

さらに2020年11月には当時デジタル改革相・平井卓也氏が内閣府と内閣官房でのPPAPを廃止すると発表したこともあり、さらにPPAP自体への認知が高まったことで廃止の流れも強まっています。

PPAPのリスクとは

PPAPセキュリティ対策として手薄にも関わらず、受信者側の手間もかかります。
例えば、PPAPのリスクとしては以下のような点が挙げられます。

(1)同じ経路の送信により、パスワードも盗み見られファイルが解凍されるリスク
(2)ZIPファイルへのウイルスチェックがされず、感染するリスク
(3)ファイル誤送信による情報漏洩と回収困難によるリスク

(1)同じ経路の送信によりパスワードも盗み見られ解凍されるリスク
ZIPファイルとパスワードを2通に分けても、同じ経路で送る場合、1通目が盗み見られると2通目も見られる可能性が高いと言えます。

(2)ZIPファイルへのウイルスチェックがされず、感染するリスク
ウイルスチェック製品のほとんどは暗号化zipファイルの解凍ができないため、ウイルスが潜む場合も受信側は検知できません。
ZIPファイルを添付したメールを送り、それを開かせることでウイルス感染させるマルウェアが流行したことにより、メールをZIPファイルで送るPPAPは問題視の声が高まりました。有名なマルウェアとして
Emotet(エモテット)IcedID(アイスド アイディー)QakBot(Qbot)などが挙げられます。

(3)ファイル誤送信による情報漏洩と回収困難によるリスク
メールを間違った相手に誤送信してしまった場合、パスワードも気づかずに同様の宛先に送ってしまう可能性が高いです。また、メールで間違った相手に送ってしまった場合、その情報の回収は手間がかかり、困難と言えます。

またリスクにおける観点のみでなく、受信者側の手間を考慮しても、PPAPは効率が良い手段とは言えません。

受信者側の開封も手間
2通目のメールを探す手間や、受信者がスマートフォン等からメールを見る場合に開封できない等の状態になる可能性があり、受信者側にとって不便と感じるとの声が多く挙がっています。

以上を踏まえると、PPAPでのファイル共有はパスワードをわざわざ別で送るという「ひと手間」をかけることで、情報漏洩対策を実施している「ような気になる」といった手段に過ぎないことが分かります。

上記のような問題点を懸念し、企業によってはPPAPでのメールは受け取らない運用へ移行しているところもあります。
そのような企業が取引先となる可能性等も考慮すると、信頼関係維持のためにもPPAPについては早急に代替案を検討した方が良いと言えます。

PPAPの代替手段とは?

このようなリスクがあることを仮に理解していても、実際にはPPAPを現在も利用している企業も多くあるのではないでしょうか。

その理由として、PPAPに代わるファイル送信の手段を検討できていないというパターンが考えられます。

実際にPPAPに代わる方法としては、パスワードをメール以外の別経路で送ることや、機密情報を含む重要な書類はメールでは送らず、クラウドストレージサービス内で共有する手段等が挙げられます。

しかしパスワードを別経路で送る場合、「解凍されるリスク」と「zipファイルへのウイルスチェックがされず、感染するリスク」があることには変わりません。

パスワードは普通のPCやフリーソフトでも解析が可能であり、英小文字と数字の組み合わせの8桁のパスワード解析にかかる速度は2分ほどです。
そのため、ZIPファイルのメール自体を盗み見られてしまえば、パスワード自体がわからなくても、総当たりでZIPパスワードの解析をされることで解凍されてしまいます。

そのため、やはり重要ファイルはメールで送信をおこなわず、クラウドストレージサービスを利用するといった手段を取ることが推奨されています。
※情報共有手段の比較については『【ファイル共有手段、本当に安全?】社外・社内への情報共有の際に気を付けるべきポイントとは』をご覧ください。

クラウドストレージサービスであるリモートカタログはPPAPでの問題について、対策可能なファイル共有サービスです。

リモートカタログでのファイル共有方法は非常にシンプルで、ユーザーを登録し、リモートカタログ内に共有用のフォルダを作成してその中に共有したいファイルをアップロードするだけ

フォルダにアクセス可能なユーザーの権限の設定が可能なため、権限のあるユーザー様やグループのみが与えられた権限内でのみファイル操作をおこなうことができます。

リモートカタログは先に挙げたPPAPでの問題点を踏まえても代替法として有用です。

(1)PPAPの同じ経路の送信によりパスワードも盗み見られ解凍されるリスクへの対策

リモートカタログはファイルをアップロードし、システム内でファイルを閲覧するサービスです。登録されたユーザー(※無制限で登録が可能)は登録した端末でリモートカタログにアクセスすることで共有されたファイルを閲覧できます。未登録のユーザーや、未登録の端末、権限のない場合はファイルを閲覧できません。

(2)PPAPのZIPファイルへのウイルスチェックがされず、感染するリスクへの対策

リモートカタログではフォルダ内にアップロードされたファイルを閲覧いただく仕組みのため、その仕組上ウイルスにより送信されたメール上のZIPファイルを直接開いてしまうことによるウイルス感染のリスクはありません。

また、万が一共有ファイルがウイルス感染している場合もリモートカタログで「ダウンロード禁止」設定をおこなっていただくことで、PCに感染したファイル自体はダウンロードすることなく、リモートカタログ上で画像として変換されたファイルを閲覧することが可能なため、ウイルス感染拡大のリスクが低減されます。

(3)PPAPのファイル誤送信による情報漏洩と回収困難によるリスクへの対策

リモートカタログではユーザー様の削除や閲覧権限の解除、アップロードされたファイルの削除が可能です。そのため、仮にリモートカタログにて意図しないユーザーの登録やファイルの共有がおこなわれた場合も漏洩元のファイル削除をおこなっていただくことで情報を相手の元に残さず回収できます。

PPAPの受信者側の手間への対策

一度リモートカタログに登録してしまえば、その後ユーザー様は登録した端末からリモートカタログにログインをするだけで必要ファイルを閲覧できます。

【簡単!】リモートカタログへの動画のアップロードイメージはこちら

まだPPAPへの対策について検討できてない場合でも、リモートカタログは不要な機能がないシンプルなファイル共有サービスのため、PPAPの代用として手軽に導入することができます。
 
PPAP対策をリモートカタログで今すぐ始めませんか。

リモートカタログ

ファイル共有サービス

純国産のファイル共有サービスファイルを安全に共有できる機能と、細かなアクセス権限設定で安全にファイルを共有できます。PPAP対策としても有効です。

なお、受信したメールに添付されたzipファイルを開く必要がある場合、ウイルス感染対策としてメールに添付された添付ファイル(zipファイルを含む)を端末にダウンロードさせずに閲覧可能な「リモートメール」も有効です。
こちらも併せてご活用ください。

リモートメール法人サービス

スマホにメールを残さない!

リモートメール法人サービスはスマートフォンやAndroidケータイ、ケータイで業務上のメールを閲覧・送信することができるサービスです。 データを残すことなく管理者権限でアカウントの管理ができるので、万が一の端末紛失時にもすぐにアクセスをブロックでき、端末にデータを残しません。