( 1 ) PPAPとは?
PPAPとは、添付ファイルの送信方法の一つで、以下の4つの頭文字を並べたものです。
- Password(パスワード)付きzipファイル送信
- Password(パスワード)送信
- Angou(暗号)化
- Protocol(プロトコル)
流れとしては、送信者がまずパスワード付きのzipファイル(圧縮ファイル)をメールに添付して送信し、次にファイルを開封するためのパスワードを別途メール送信します。受信者はそのパスワードを入力することでファイルを開封し、中身を確認します。なおプロトコルとは「通信手順」の意味です。
セキュリティ対策として多くの企業が使用していましたが、現在では問題点が指摘されるようになり、使用を禁止する企業が増加しています。
PPAPは日本だけ?
PPAPは、2016年に流行した同名の楽曲に由来し、PPAPの響きが「プロトコルっぽい」と話題になったことからヒントを得て命名されました。国内では官民を問わず普及しましたが、海外ではメールで送られてきたzipファイルはむしろ怪しいという認識が一般的であり、この送信方法はほとんど見られません。
( 2 ) PPAPの問題点
セキュリティリスクなどを踏まえ、2020年11月にわが国の内閣府と内閣官房ではPPAPを廃止する方針を発表しました。足並みをそろえるように民間企業でもPPAPを社内で使用禁止にする動きが出てくるようになり、PPAPを問題視する見方が日本国内にも広がりつつあります。PPAPの主な問題点は以下の3点が挙げられます。
情報漏洩のリスクがある
1通目のzipファイルと2通目のパスワードは同じ通信経路でメール送信されます。そのため悪意ある攻撃者によって通信経路を攻撃されると、どちらのメールも閲覧できることになり、ファイルの情報が漏洩してしまいます。
ウイルスチェックが難しい
ウイルス対策ソフトを入れていても、設定や機能によってはパスワード付きzipファイルのウイルスチェックができない場合があります。世界的に猛威を振るったマルウェア「Emotet(エモテット)」(※)が、パスワード付きzipファイルからの感染を狙って日本企業を標的にしたケースもありました。
業務効率が低下する
PPAPは手間がかかるだけで受信者の業務効率が低くなるということも指摘されています。メールの受信者は、ZIPファイルをダウンロードするだけでなく、パスワードのメールを開封し、ZIPファイルを解凍する必要があります。ひと手間ではあっても、やりとりの頻度が高いほど受信者の負担は軽視できません。
※ Emotet:非常に強い感染力を持つマルウェアの一種。2014年に検出されて以降、拡大と収束を繰り返している。( 3 ) PPAPの代替案
最近では、脱PPAPの流れの中で以下のような代替案が模索されています。
ファイル転送サービスの活用
最も簡単な手段として「ファイル転送サービス」があります。送信者がファイルをアップロードし、ダウンロード用のURLを取得、それを受信者に伝えてダウンロードするという仕組みです。登録のいらない無料のサービスもあるため気軽に活用できます。
オンラインストレージの活用
オンラインストレージとは、インターネット上にデータをアップロードして、格納およびダウンロードができるサービスで、クラウドストレージとも呼ばれます。アクセス制限が可能なので、共有する範囲や人をコントロールすることができます。
チャットツールの活用
チャットツールにはメールのような中継サーバがないため、攻撃者に盗み見られるリスクが低減されます。また管理者によって招待されたメンバー間でのみメッセージやファイルをやりとりできるよう設定することも可能です。