JP
はじめに|PPAPってどんな仕組み?
「パスワード付きZIP」+「別メール」がセット
PPAPとは、ファイルをZIPという形でまとめて暗号化し、そのファイルをメールで送ったあと、開くためのパスワードを別のメールでもう一度送る仕組みです。
「ファイルと鍵を別々に送るから安全」と思われがちですが、実はそれほど安全ではありません。
なぜまだ使われているの?
現代の攻撃手口や運用の現実を踏まえると、PPAPでは十分とは言えません。
それでも残っているのは「昔からの慣習」「取引先がPPAPを求める」といった惰性や互換性の理由が大きいのが実情です。
PPAPの危険性|4つの理由をわかりやすく解説
①同じ道を通るから盗まれやすい
PPAPによるファイル共有は、仕事のスピードを上げるだけでなく、災害時や出張先からでもデータにアクセスできるという安心感もあります。
ただし便利な反面、アクセス権の設定やセキュリティ対策をしっかりしないと、情報漏えいのリスクもあります。
②暗号の仕組みが古くて弱い
ZIPの暗号には「ZipCrypto」と「AES」という2種類があります。
多くの人が使っている「ZipCrypto」は古い方式で、パスワードを総当たりで試す攻撃(ブルートフォース攻撃)に弱いです。
短いパスワードなら、数分で解読できてしまうこともあります。
新しい「AES方式」は強い暗号ですが、PCや相手環境の互換性によっては開封できず、トラブルに繋がることもあります。
つまり、暗号をかけていても「完全に安全」とは言えないのです。
③ウイルスを見逃してしまう
パスワード付きZIPは暗号化されているため、ウイルス対策ソフトが中身をチェックできません。
そのため、もし悪意のあるファイルが入っていても、ウイルスと気づかずに開いてしまう危険があります。
実際に「Emotet(エモテット)」というウイルスは、このPPAPメールを使って多くの会社に広がりました。
④間違いやすく、手間も多い
PPAPのやりとりは2通のメールが必要なので、送る人も受け取る人もミスをしやすい仕組みです。
パスワードを間違えたり、違う人に送ってしまったり、開けないファイルを送ってしまうなどのトラブルが起こります。
さらに、受け取る人は毎回解凍しないといけないため、仕事の効率も下がります。
政府や企業がPPAPをやめた理由
2020年11月、政府の中枢である内閣府と内閣官房が「PPAPを廃止する」と正式に発表しました。
それまで多くの役所や企業が当たり前のように使っていたPPAPですが、セキュリティ上の危険が大きいとして、11月26日から全面的に廃止されました。
この発表をきっかけに、ほかの省庁や企業でも「PPAPをなくそう」という動きが広がりました。
その後、日立グループは2021年12月に社内でPPAPを廃止しました。
さらに、ソフトバンクも2022年2月にPPAPを使わない運用へ切り替えることを公表しました。
このように、最近では、PPAPで送られたメールを受信できない設定にしている会社も増えており、
「PPAPだと届かない」「開けない」といったトラブルも起きています。
つまり今は、PPAPを使い続けると相手に迷惑をかけてしまう可能性があるということです。
そのため、多くの企業が、より安全で便利な方法(クラウドストレージなど)に移行しています。
PPAPの代わりに使える安全な方法
こうしてPPAPが使われなくなってきた今、
「ファイルを安全に送るにはどうすればいいの?」と思う人も多いでしょう。
実は、PPAPよりも安全で、しかも便利に使える方法がいくつもあります。
たとえば、「Box」や「Googleドライブ」などのクラウドストレージを使うと、ファイルをインターネット上の安全な場所に保存し、そこから必要な人だけが見られるように共有できます。
これなら、パスワードをメールで送る必要もなく、「誰が、いつファイルを見たか」も記録に残るため、安心してやり取りができます。
さらに、クラウドサービス以外にも、メールそのものを暗号化する方法や、ファイルを一時的に預けてダウンロードしてもらうファイル転送サービスなどもあります。
ここからは、PPAPの代わりになるこれらの方法を、「どんな仕組みなのか」「どう安全なのか」をわかりやすく紹介していきます。
①クラウドストレージ(Box・Googleドライブなど)
ファイルをクラウド上に保存し、URLリンクを共有する方法です。
リンクにはパスワードや有効期限をつけられ、誰が見たかの記録も残せます。
「Box」などのクラウドサービスなら、アクセス履歴や編集履歴も自動で管理できて安全です。
たとえば「Box」を使えば、パスワード付きリンクを作って特定の相手だけに見せることができます。
間違って別の人に送ってしまっても、リンクをすぐに無効にできます。
②暗号化メール(S/MIME・PGPなど)
メール本文と添付ファイルを送信時に自動暗号化し、受信者だけが読める仕組みです。
送信時に自動で暗号化され、受信者だけが中身を見られるようになるため、高い安全性が保てます。
ただし、証明書の設定が必要なので、証明書の管理や初期設定といったITの知識や組織的な整備が必要になってきます。
③ファイル転送サービス
一時的にファイルを預ける仕組みで、「◯日で自動削除」や「1回しかダウンロードできない」といった有効期限・回数制限でダウンロードしてもらう設定ができます。
大容量のファイルを送るときに便利で、誤送信防止や履歴の確認にも役立ちます。
④セキュアコンテナ(専用アプリで開くタイプ)
特別なアプリでしか開けない「仮想の箱」にファイルを入れて共有する方法です。
コピーや印刷を禁止したり、見られる期間を設定したりできます。
社外秘の情報を扱う会社などで使われています。
導入の前にチェックしておきたいポイント
新しいファイル共有サービスを選ぶときは、「安全に使えるか」「使ったあとも管理しやすいか」をしっかり確認することが大切です。
難しい専門用語が多いように見えますが、次のチェック項目をおさえれば安心です。
選ぶときのチェックリスト
通信が安全に守られているか
ファイルを送るときのデータが暗号化されている(例:TLS1.2以上)ことを確認しましょう。
暗号化とは、データを「カギ」で守る仕組みのことです。
保存されるデータも安全か
クラウド上にあるファイルも暗号化(例:AES-256)されていれば、外部からの盗み見を防げます。
だれがアクセスしたか分かるか
「いつ・だれが・どのファイルを開いたか」を記録できる機能があると、トラブル防止につながります。
国内の安全なサーバーを使っているか
日本の法律やルールに合わせたデータ管理ができるかどうかも、安心して使うためのポイントです。
無料版よりも、ビジネス向けの安全設計になっているか
無料のサービスは手軽ですが、セキュリティ機能が少ないことがあります。
ビジネス利用では、有料の法人プランを選ぶのが安心です。
まとめ|
PPAPをやめることは“安全な働き方”への第一歩
昔は「メールにパスワード付きファイルを添付して送る」方法(PPAP)が便利だと思われていました。
でも今では、手間がかかるうえに危険も多いことが分かっています。
これからは、安全で便利に使えるクラウドサービスが当たり前の時代です。
「Box」や「Googleドライブ」などを使えば、パスワードを別メールで送る必要もなく、誰がファイルを見たか、いつ開いたかまでしっかりと管理できます。
PPAPをやめることは、ただのセキュリティ対策ではありません。
それは、自分たちの情報を守りながら、もっと働きやすい環境をつくる第一歩です。
ファイルを安全に扱うことは、信頼を守り、未来のデジタル社会で安心して暮らすための基本になります。
Boxには複数の第三者認証を取得している高いセキュリティ性、扱いやすいシステム、細かな権限設定、各企業に合ったストレージプランの用意など、多くの企業がファイル共有サービスに求める要素が揃っています。
NTTドコモビジネスはBoxの代理店でもあり、お客さまに寄り添ったサポートを提供しております。日本語での対応も可能ですので、導入を検討している方は、ぜひお気軽にご相談ください。
