「今後、中央省庁ではPPAPを廃止します」。2020年11月17日の政府会見で、平井卓也デジタル改革担当相はこのように発言しました。直後の11月26日には、内閣府・内閣官房でさっそく廃止されました。この発言はIT業界、とりわけ企業の情報システム部門にかかわる人々の間で話題になりました。
IT業界で話題となった「PPAP」とは?
「PPAP」とは、2016年の世界的なヒット曲「ペンパイナッポーアッポーペン(Pen-Pineapple-Apple-Pen)」のことではありません。ファイル共有のために「メールにパスワード付きZIPファイルを添付して送る」方法のことで、「暗号化添付ファイル」と呼ばれることもあります。現在、この方法は広く使われており、多くのビジネスパーソンが送ったり受け取ったりした経験があるはずです。
- Password付きZIPファイルを送ります
- Passwordを送ります
- Aん号化(暗号化)
- Protocol(プロトコル)
※上記1〜4の工程の頭文字を並べたものが「PPAP」
PPAPが使われるようになった背景には、機密情報を含むファイルを第三者に盗み見られないようにするというセキュリティ上の目的があります。鍵のついた箱に重要書類を入れて送るようなもので、ZIPファイルを手に入れても、鍵=パスワードを知らなければ中身を見ることはできないから情報漏洩対策になるというわけです。非常にシンプルで誰にとってもわかりやすく、実際に効果もあるように思えます。また、ファイルを誤った相手に送ってしまっても、パスワードの送信時に気づけば大事に至らずに済ませられるため、誤送信対策にもなります。
一説によると、個人情報の保護体制に対する認証制度であるプライバシーマークやISMS認証を取得するために、漏洩対策の具体的な手段としてPPAPの採用が進んだともいわれています(PPAP方式そのものが認証取得に必要だとは規定されていません)。そのほか、「取引先から指定されているから」や「何となく安全そうだから」といったケースもあるでしょう。メール添付とZIPという、導入コストがかからず汎用的なツールや技術である特徴も、PPAPの採用しやすさにつながっています。
このような理由で広く使われているPPAPですが、なぜいま廃止しなければならないのでしょうか。
実際のセキュリティ効果は限定的
確かにファイルそのものは、パスワード付きZIPという暗号化処理によって守られているため、そのファイルや添付されたメール「だけ」にアクセスされるなら安全です。しかし、実際に起きた不正アクセスや情報漏洩を見てみると、他のメールも含めてメールアカウント単位でアクセスされることが多いのです。つまり、ファイルが添付されたメールだけでなく、パスワードを知らせるメールにもアクセスされる可能性が高いため、PPAPは効果的ではないということになります。
さらに、毎回ファイルをパスワード付きZIPにして送り、さらにパスワードを別送するというのは手間がかかります。この煩雑さを減らすために、添付されたファイルをパスワード付きZIPに変換し、相手にファイルとパスワードを別メールで送信するというPPAPの一連の工程を自動化するソリューションまで登場し、多くの組織で導入されています。
これらのソリューションには、ネットワークのどこで処理を行うかによって、「メールサーバー型」「ゲートウェイ型」「クライアント型」の3種類があります。いずれも、送信者が手間をかけずに一連の処理が行われるという点で共通しています。自動化することで、より確実に処理ができて安全性が高まるように思えます。しかし、誤送信対策の効果はなくなってしまうため、情報漏洩に対する安全性はむしろ下がってしまいます。
ウイルスチェックをすり抜けるパスワード付きZIPファイル
PPAPは、受信側にとってマルウェアの侵入経路としても問題視されています。解凍するまで中身を確認できないパスワード付きZIPファイルは、メールサーバーでのウイルスチェックができません。これはセキュリティ上のデメリットになります。近年のメールを使った標的型マルウェアPPAPの作法を巧みに取り入れ、取引先になりすましてマルウェアを送り込むケースが増えています。各ユーザーが気をつける必要がありますが、個々人のセキュリティ意識やリテラシーに依存してしまうのは、組織として正しいとはいえません。
この他にも、PPAPでよく使われているZIP暗号化技術は強度が弱いといった問題もあります。これは、強度が強いZIP暗号化技術を使えば解決しますが、それによってOS標準のZIP解凍機能が使えないなど、手間が増えるというデメリットがあります。同じ組織内で環境をそろえられるならよいのですが、社外とのやり取りで使うには向いていません。
メールでのZIPファイル送信は生産性にも悪影響
セキュリティを第一に考えるなら、同じメールによるファイル送信でも、パスワードをひと手間かけて電話やFAXといった完全な別経路で送るという選択肢があります。特に機密性の高いファイルを送る時だけ、この方法を実践するという選択は十分あり得ます。しかし、そもそもこの手間を減らすために、パスワードもメールで送るように簡略化したものがPPAPであることを考えると、この方法を常用するのは現実的ではありません。
さらに手間の話でいえば、PPAPにおける「添付ファイルをダウンロードし、パスワードのメールを確認し、ZIP解凍する」という作業は、受信者に負担をかけています。送信側には先述した自動化ソリューションがありますが、受信側にはありません。モバイル端末では、メールに添付されたZIPファイルが扱いにくく、さらに手間がかかります。生産性の面でも、PPAPには問題があるといえます。
いまこそ思考停止からの脱却を
PPAPの問題は、情報保護のレベルが期待されているよりも低いことです。何よりも深刻といえるのは、PPAPを実践している私たち自身が、上記のような問題点やリスクを認識しているにもかかわらず、「組織の慣習」や「取引先に対するポーズ」、はては「単なるおまじない」として受け入れてしまっていることです。これは完全な思考停止です。
「取引先からの要望で仕方なくやっている」というケースもあるでしょう。「何となく安心だから」という理由も理解はできます。しかし、多少のメリットどころか、デメリットのほうが大きいとさえいえることを続ける理由はありません。政府がPPAPに着目したのは、働き方改革を推進するうえで、PPAPを悪しき習慣・形骸化の代表例として廃止すべきと判断したからでしょう。
政府の発表以降、PPAPの廃止を表明する企業が続いています。内心は「やめてもいい」と考えていた企業が、実は多かったということでしょう。PPAPを実践してきた多くの企業にとって、「政府のお墨付き」とさえいえる今回の動きは、これまでの慣習やシステムを見直す絶好の機会になるはずです。
それでは、PPAPを廃止して代わりにどうすればよいのでしょうか。次の記事では、PPAPに代わる手段の紹介や解説をします。