<iframe src="https://www.googletagmanager.com/ns.html?id=GTM-MZLZR25" height="0" width="0" style="display:none;visibility:hidden"></iframe>

PPAPはなぜ禁止される?問題と対策をご紹介

ppapの説明

お客様や取引先といった社外とファイルを共有する場合、どのような手法をとっていますか?

共有したいファイルを「パスワード付きzipファイル」にしてメールで送信し、改めてメールでパスワードを送信している方も多くいらっしゃるのではないでしょうか。

こうした手法は「PPAP」とも呼ばれています。

このPPAPは、「セキュリティ対策」の1つと信じられ広く普及したものの、セキュリティ面で多くの問題があることがわかっています。

本コラムでは、PPAPの概要や問題を紹介し、どのように対策すべきかをご紹介します。

目次

  1. PPAPとは?
  2. 禁止される理由と課題
  3. PPAPの代替案
  4. クラウドストレージのプランを比較
  5. まとめ

PPAPとは?

PPAP

画像を拡大して見る

PPAPとは、ファイルを「パスワード付きzipファイル」にして1つ目のメールで送信し、改めてメールでパスワードを2つ目のメールで送信することです。

PPAPは、下記4つの頭文字を取ったものです。

  • Password付きzipファイルを送ります
  • Passwordを送ります
  • An号化(暗号化)
  • Protocol(プロトコル)

しかし、政府はこのやり方を廃止することを明らかにしており、この流れに追随するようPPAPを廃止する企業も増えていくことが想定されます。

なぜPPAPを辞めざるを得なくなったのか、次の章でご紹介します。

禁止される理由と課題

PPAPが禁止される理由として、3つの課題が挙げられます。
  1. セキュリティ対策として効果が薄い
    • 攻撃者がメールの1通目を盗み見できた場合、2通目のメールも盗み見できる可能性が高いため、添付ファイルとパスワードを分けて送信しても意味がないことが考えられます。
    • 一般的にID・パスワードを一定回数以上間違えるとロックがかかることが多いですが、「パスワード付きzipファイル」はそういった制限がないため何度でも試せてしまいます。
  2. ウイルス対策の効力を失わせる
    • 添付ファイルのウイルスをチェックする機能をもつセキュリティ対策製品でも、パスワード付きのzipファイルの中身は検知できないことがあります。
  3. 受信者側に手間が増える
    • 受信者が必ずしもパソコンでメールを閲覧するとは限らず、パスワード付きのzipファイルをスマートフォンで開くのは手間がかかってしまいます。

PPAPの代替案

PPAPに代わる対策としては、大きく3つ考えられます。

  1. パスワードをメール以外の手段で伝える
    • PPAPをやめる第一歩として、パスワードをSMSやチャットなど別の手段で伝えるという方法があります。
  2. クラウドストレージの利用
    • OneDriveやbox、Googleドライブといったクラウドストレージを利用する方法があります。
    • クラウドストレージの利用はセキュリティと利便性の両立が実現できます。
  3. Azure Information Protectionの導入

クラウドストレージのプランを比較

クラウドストレージで有名な3社の、ビジネス向けプランを比較してみました。(法人・ビジネスプラン)

どれも無料版が用意されていますので、使用感などを試してみてはいかがでしょうか。

ここに記載した情報は、2021年8月時点のものです。予告なく変更になる恐れがありますので、詳細は各メーカーの公式Webサイトをご確認ください。

ライセンス保存容量価格特徴無料版
OneDrive

OneDrive for Business(Plan 1)

1TB

月額540円/1ユーザー※1

  • 転送中および保管中のデータを暗号化。
  • コンテンツを制御してセキュリティで保護するために、アクセス権をいつでも取り消すことが可能。

Box

BusinessプランStarter

100GB

月額522.5円/1ユーザー※2

  • SSLおよび保存データ暗号化
  • 最小3名ユーザーから、最大10ユーザーまで(外部のコラボレーターは10ユーザーまで、有料アカウントのみ)
Google Drive

Google Workspace Business Starter

30GB 月額680円/1ユーザー※3
  • 共有先がGoogleアカウントを持っていなくとも共有可能

※1:2021年8月時点のMicrosoft公式Webサイトの価格を参照。

※2:2021年8月時点のbox公式Webサイトの価格を参照。

※3:2021年8月時点のGoogle公式Webサイトの価格を参照。

まとめ

本コラムではPPAPの概要と問題点、対策についてご紹介しました。

情報漏えいを防ぎ、重要なデータを安全に共有するためにも、有効な方法を検討してみてはいかがでしょうか。

サイバー攻撃のきっかけは「メール」であることも多く、セキュリティ対策は重要です。

JBサービス株式会社では、従業員にむけたメールの訓練を含むセキュリティ教育サービスを提供しています。

有事の際に従業員が適切な対処ができるか心配、標的型メール訓練だけで効果が出ているのか不安、など課題をお持ちの方はぜひご検討ください。

よくあるご質問

PPAPとは?
ファイルを「パスワード付きzipファイル」にして1つ目のメールで送信し、改めてメールでパスワードを2つ目のメールで送信することです。詳しくはこちらで紹介しています。
PPAPが禁止される理由は?
主に、①セキュリティ対策として効果が薄い、②ウイルス対策の効力を失わせる、③受信者側に手間が増えるが挙げられます。詳しくはこちらで紹介しています。

関連サービス
セキュリティ教育サービスSecuLiteracy(セキュリテラシー)

セキュリティ教育サービスSecuLiteracy(セキュリテラシー)

見逃しがちなセキュリティ対策といえば従業員に対するセキュリティ教育です。SecuLiteracy(セキュリテラシー)とは、様々なサイバー攻撃のテクニック・ツール・ノウハウ等に精通した認定ホワイトハッカーがご支援するセキュリティ教育サービスです。企業・組織のセキュリティレベルの向上・可視化を実現したい企業・組織の方々にお勧めしたいサービスです。

詳しく »