PPAP廃止後のファイル共有はどうする?安全な代替手段を徹底解説
PPAPとは何か、なぜ危険なのかを解説。パスワード付きZIPファイルをメールで送る慣行の問題点と、脱PPAPの具体的な代替手段を紹介します。
PPAP廃止後のファイル共有はどうする?安全な代替手段を徹底解説
2020年、当時のデジタル改革担当大臣が中央省庁でのPPAP廃止を宣言しました。それ以降、大手企業を中心にPPAP廃止の動きが加速しています。しかし、多くの中小企業では今もPPAPが続いています。
PPAPとは何か
PPAPとは、日本独自のファイル送信慣行を揶揄した略語です:
| 頭文字 | 意味 |
|---|---|
| P | Password付きZIPファイルを送る |
| P | Passwordを送る |
| A | Aん号化(暗号化) |
| P | Protocol(プロトコル) |
具体的には:
- ファイルをパスワード付きZIPに圧縮
- 1通目のメールでZIPファイルを送信
- 2通目のメールで解凍パスワードを送信
この手順が「セキュリティ対策」として日本企業に広く浸透してきました。
PPAPが危険な5つの理由
1. 同じ経路でパスワードを送る無意味さ
ZIPファイルとパスワードを同じメールアカウントから同じ宛先に送信します。メールが傍受されれば、両方とも盗まれます。鍵をかけたドアの横に鍵を貼り付けているようなものです。
2. パスワード付きZIPはマルウェア検知を回避する
多くのセキュリティゲートウェイは、パスワード付きZIPファイルの中身をスキャンできません。これはセキュリティを向上させるどころか、むしろ マルウェアの配布経路 として悪用されてきました。
Emotetなどのマルウェアは、まさにパスワード付きZIPを使って拡散しました。
3. ZIPの暗号化は脆弱
一般的なZIP暗号化(ZipCrypto)は既に解読方法が知られています。専用ツールを使えば数分で解除できるケースもあります。
4. 誤送信対策にならない
1通目を間違った宛先に送った場合、2通目も同じ宛先に送ってしまう可能性が高いです。宛先間違いの防止には全く効果がありません。
5. 受信側の負担
- パスワードを探すためにメールを遡る手間
- モバイルでZIPファイルを開けない場合がある
- パスワードを何度も入力する煩わしさ
脱PPAP:安全な代替手段
方法1:クラウドストレージの共有リンク
Google Drive、OneDrive、Boxなどのクラウドストレージを使い、共有リンクでファイルを送る方法です。
メリット:
- アクセス権限を細かく設定できる
- ファイルのダウンロード状況を確認できる
- 共有を取り消せる
- マルウェアスキャンが可能
デメリット:
- リンク自体にパスワードをかけられないサービスもある
- 社外との共有にITポリシーの制約がある場合も
方法2:パスワード付きリンクでURL保護
クラウドストレージの共有リンクを、さらにパスワード付きのリンクで保護する方法です。
LOCK.PUBを使えば、任意のURL(Google Driveの共有リンクなど)にパスワードを設定できます。受信者はパスワードを入力して初めてリンク先にアクセスできます。
| 比較項目 | PPAP | LOCK.PUB + クラウド |
|---|---|---|
| パスワード経路 | 同じ(メール) | 分離可能 |
| マルウェアスキャン | 不可 | 可能 |
| アクセスログ | なし | あり |
| 共有取消 | 不可 | 可能 |
| 誤送信対策 | 効果なし | リンク削除で対応可 |
方法3:法人向けファイル転送サービス
大企業向けには、専用のファイル転送ソリューションがあります:
- Box — 細かいアクセス制御と監査ログ
- SharePoint — Microsoft 365環境との連携
- クリプト便 — 日本企業向けのセキュアファイル転送
方法4:チャットツールのファイル共有
Slack、Chatwork、Microsoft Teamsなどのビジネスチャットでファイルを直接共有する方法もあります。ただし、チャットの保存期間やセキュリティ設定に注意が必要です。
脱PPAP実践ガイド
ステップ1:現状把握
- 社内でPPAPがどの程度使われているか調査
- 取引先との送受信パターンを確認
ステップ2:代替手段の選定
- 社内のIT環境に合ったツールを選択
- コストと運用負担を比較
ステップ3:段階的な移行
- まず社内からPPAP廃止を開始
- 取引先には代替手段を案内
- 移行期間を設けて並行運用
ステップ4:ルール化と教育
- 新しいファイル共有ルールを文書化
- 全社員向けに研修を実施
パスワードの安全な共有方法
脱PPAPで最も重要なのは「パスワードと本体を別経路で送る」という原則です。
メールでファイル(またはリンク)を送り、LINEや電話でパスワードを伝える方法が一般的ですが、LOCK.PUBならリンク自体にパスワードが組み込まれているため、パスワードを別途伝える手間が省けます。
まとめ
PPAPは「やっている感」だけのセキュリティ対策であり、実質的な効果はほぼありません。むしろマルウェアの検知を妨げるという点で、セキュリティを 悪化 させています。
脱PPAP チェックリスト:
- クラウドストレージの共有リンクに移行
- リンクにパスワード保護を追加
- アクセスログを確認できる仕組みを導入
- 取引先と新しいルールを共有
- 社員教育を実施
キーワード
こちらもおすすめ
Chatworkでパスワードを安全に共有する方法:リスクと対策ガイド
Chatworkでパスワードやログイン情報を共有する際のセキュリティリスクと対策を解説。メッセージの閲覧範囲、退職者リスク、安全な共有方法を紹介します。
転職・退職時にパスワードとデータを安全に引き継ぐ方法 — 3〜4月の引き継ぎシーズン対策
転職・退職時の業務アカウント、パスワード、機密データを後任に安全に引き継ぐ方法。LINEで送ってはいけない理由と暗号化共有ガイド。
LINE WORKSでパスワードを共有するのは危険?安全な代替手段を解説
LINE WORKSのチャットでパスワードを送信するリスクと、安全にパスワードを共有する方法を徹底解説。中小企業のセキュリティ対策に。