1. 起業コラム
2025/02/16 投稿
ショートリンク

ZIPファイルをメール添付してパスワードを2通目で送る古い商習慣「PPAP」

PPAPとは、「鍵付きZIPファイルをメール添付し、2通目でパスワードをメール送信する日本独自の商習慣」を問題提起するために命名された造語です。
間違ったセキュリティ対策であるにもかかわらず、メール誤送信対策の手法として広く知られています。
今回はこのPPAPがなぜセキュリティ的に意味がないのかを解説したいと思います。

1.PPAPがセキュリティ的に無意味な理由

PPAPの流れをおさらいします。

  1. パスワード付きZIPファイルをメール添付して送信。
  2. ZIPファイルを解凍するためのパスワードを別途メールで送信。
  3. メール受信者は、2通目で受け取ったパスワードでZIPファイルを解凍し、中身を確認する。
PPAPの問題点
  • メールが盗聴されている場合、2通目のパスワードも当然盗聴されているので意味がない。
  • 何も考えず1通目の送信先に2通目を送るので誤送信対策としても意味がない。
  • 鍵付きZIPファイルは早ければ数秒で解読可能なため、セキュリティ対策として意味がない
  • 鍵付きZIPファイルはウイルスチェックを回避するため、これを悪用したマルウェアを送る攻撃手法が出てきている。

セキュリティ対策で重要なのは、暗号化した機密ファイルとパスワードを別経路で送ることです。
例えばパスワードをビジネスチャットやSMSで送るのは、セキュリティ対策として意味があります。

ただし、機密ファイルをメールに添付し誤送信した場合、(すぐ誤送信だと気付いたとしても)相手は時間を掛けて解読できる状態ですので、機密ファイルをメール添付すること自体がお勧めできません
次に説明するオンラインストレージの活用を検討してみてください。

2.PPAPの代替手段

外部に機密ファイルを送信するときにお勧めするのは、Google DriveやOneDriveなどのオンラインストレージを利用することです。

特定のユーザーのみダウンロードできるよう設定できるので便利です。
また基本的に無料なので経費が掛かりません。

利用する場合は掲載期間を設け、先方がダウンロードしたら速やかにオンラインストレージから削除しましょう。

もし最高レベルの機密書類をやり取りする場合は、自社でサーバーを準備すべきです。
そのサーバーへのアクセスは国外からのアクセスを拒否したり、特定のIPアドレスのみダウンロード可能にすれば安心です。

その他の方法は下記サイトを参考にしてみてください。

 

3.行政や企業で脱PPAPの方向性

2020年11月に日本政府では、メールで送信する際に使う鍵付きzipファイルを廃止する方針を打ち出し、外部へのファイル送信には主に共有ストレージを活用するとしています。
参考: 霞が関でパスワード付きzipファイルを廃止へ 平井デジタル相 – ITmedia NEWS
参考: 内閣府と内閣官房で脱“パスワード付きZIP”運用を開始 ファイル送信は内閣府のストレージサービス活用 – ITmedia NEWS

また2021年10月に日立グループはPPAPの利用廃止を公表しています。
参考: 日立グループにおけるパスワード付きZIPファイル添付メール(通称PPAP)の利用廃止に関するお知らせ:日立

つまり現在ではPPAPを行うと、セキュリティに対する意識の低さを露呈する時代になってきています。
もし、あなたの組織でPPAPが当たり前に行われているとしたら、信用問題になる前に他のメンバーに周知してあげてください。

4.PPAP信者がいるので注意

年配の方の中には、社会人としての常識としてPPAPを強要する人がいます。
「外部に拡散しないように気を付けてね」という意味でパスワード付きzipファイルを送ってくる方もいます。

それをわざわざ指摘する必要はありませんが、自分や所属している組織では、情報共有して大手の会社と取引する時に恥をかかないようにしておきましょう。

5.使いやすさを損なわないセキュリティ対策を。

最期に外部のオンラインストレージを使うことに抵抗がある場合は、自社サーバーで共有する仕組みを作る必要があります。
そのレベルの機密ファイルをやり取りする場合は、もちろんメールサーバーも自社サーバーにする必要があります。

自社サーバーの継続的なセキュリティアップデート経路の暗号化の手間を考えると、オンラインストレージを活用した方が長期的なセキュリティリスクは低くなると思います。

またリスクゼロを目指すあまり、従業員や取引先に負担を強いるやり方は、長続きせず抜け道に繋がります。
例えるならば、交通事故ゼロを目指すあまり「車に乗るな」というと、別の手段を使うようになってしまいます。
安全運転を心掛けるよう日々の声掛けと事故をしたときに連絡する窓口を設けることが大切です。

今やITは事業運営に欠かせないツールです。
恐がるのではなく、安全運転で乗りこなしていきましょう!

このコラムは協議会メンバーが執筆しています。
情報発信したい方はお気軽に 事務局へ ご連絡ください。