広がる“脱PPAP”~今後取って代わるサービスとは~
2021年12月20日
近年、ファイルの送受信のセキュリティ問題がよくニュースでも取り上げられています。その中でも「PPAP」というワードをよく耳にするのではないでしょうか。
今多くの企業で広がる”脱PPAP”の動き。本日はPPAPについてや脱PPAPの動きが本格化した背景、今後のPPAPに取って代わるサービスなどについてご紹介します。
1. PPAPとは
PPAPとは「(P)Password付きzip暗号化ファイル送付」、「(P)Password送付」、「(A)暗号化」「(P)Protocol ※通信での送受信の手順を定めた規格」の頭文字をとっており、一言で言うとパスワード付きzipファイルをメールで送って、パスワードは別のメールで送るやり取りのことを指します。
やり取りの経験がある方も多いのではないのでしょうか。
「PPAP」という略称は、大泰司章氏により命名され、彼が一般財団法人日本情報経済社会推進協会に所属していた頃に使われ始めました。大泰司氏は現在PPAP総研を起業しています。
このようなパスワードを別に送る方式は、セキュリティ対策としての効果が薄いにも関わらず、送受信の際には特に受信側にとって手間がかかると指摘されています。
2. 脱PPAPの動き
パスワード付きzipによるやり取りは多くの企業で浸透していました。安全性を疑問視する声は上がっていたものの、根付いているが故に廃止へ踏み切る企業はあまりありませんでした。
そんな中、2020年11月17日に政府は「文書などのデータをメールで送信するときに使うパスワード付きzipファイルを廃止する方針である」と、定例会見で明らかにしたことにより、”脱PPAP”の動きが加速化しました。
多くの企業でも動き出しがあり、2021年1月には日立製作所が廃止の方針であることが日経クロステック(xTECH)によって報道されました。ここで「PPAP」というワードが使われたことでSNSを始めとして広く話題になりました。
このような動きが本格化してきたことにより、PPAP廃止の動きは多くの企業で広まると言えます。
3. PPAP廃止の加速化
このPPAP廃止の動きが高まった要因の一つには、2020年10月にセキュリティ上のリスクが指摘されたことも背景にあるとされています。昨年来、エモテットと呼ばれるコンピュータウイルスなど悪意のあるソフトウェアが世界中で流行しました。
エモテットとは、メールの本文などの情報を盗み、関係者の返信などに見せかけたメールを送ることで信用させ、マルウェアを含む添付ファイルを開かせて感染させるというものです。
一般的にGmailなどの メールサーバーには添付ファイルのウイルスを検知するシステムがありますが、PPAPで送られる暗号化されたzipファイルの中身は検知することができません。
このようなことから感染すると知らずになりすましメールの添付ファイルを開いてしまうケースがあるのです。この危険性を受けた上で、パスワードが設定されたzipファイルなどセキュリティ対策ソフトでスキャンできないメールの添付ファイルなどをブロックするような呼びかけが行われたのです。
4. 企業の取り組み例
PPAP廃止にいち早く対応に動いたのが、クラウド会計ソフトを手がけているfreee(フリー)です。アメリカ政府の注意喚起などを受け、2020年10月から、PPAPのメール受信禁止に向け動き始めました。freeeの最高情報責任者は、「数年前から不審なzipファイルを受信し、それを社員が明けてしまうなどのトラブルがあったが幸いにも実害が出ていなかった。しかしエモテットが爆発的に広がったことで、ブロックできないかと検討を始めた。」と振り返っています。
その後11月に受信禁止の方針を発表した上で、12月1日より実際にパスワード付きファイルの受信を禁止しました。
同社がパスワード付きファイルの添付されたメールを受信した場合は、メールサーバー上で添付ファイルが自動的に削除される仕組みになりました。社員が受け取るメールは、メール本文が維持されたまま、本文の後に添付ファイルが削除されたことを通知する文言が追加されて届くようになりました。
freeeの1日のメールの受信状況は調査によると、約11万通だったと言われています。送信元のドメイン数が約1200人にものぼり、この内受信禁止の例外登録を行ったのは200程度です。エモテットのような悪意のあるものの多くは中堅や中小企業の取引先からのメールに多かったことが報告されていて、例外登録したドメインの多くは金融機関をはじめとした大企業であるため、見た目の数以上にリスクを軽減できていると言われています。
5. 脱PPAPの代替手段は?
各企業の動きに伴い、PPAPでのファイル送受信に取って代わるサービスが注目を集めています。
代替手段として考えられるサービスとしては、マイクロソフトチームや、Googleワークスペースなどのグループウェア、クラウドストレージなどを利用したファイル共有が挙げられます。
近年、新型コロナウイルス感染症対策としても多くの企業でテレワークが推進されており、テレワーク環境で活用できるグループウェアやクラウドストレージへ移行することは、セキュリティリスクを軽減するといった面からも推進されていくと言えるでしょう。
「ShareDrive」は自社専用オンラインストレージ上で簡単・安全にファイルやフォルダの送受信ができるオンラインクラウドサービスです。
ウイルススキャン機能やIPアドレス制限などセキュリティを担保する機能も標準機能として用意されています。
パスワード付zipファイルの送受信に取って代わり、より安全に簡単にファイル共有が可能になるサービスです。
ページのデザインを会社独自の仕様にカスタマイズできる上に、独自ドメインのためプロモーションを併用することも可能です。
詳しく知りたい方は下記よりお気軽にご相談ください!