PPAPとは？ 正式名称や歴史的背景、問題点、代替案を解説：IT用語3分リーディング

PPAPとは、メールに添付したファイルをパスワード付きZIP形式にしてパスワードを別送するセキュリティ手法を指す。課題が多い中でもビジネスのデファクトスタンダードとされてきたが、近年見直しの気運が高い。

[キーマンズネット]

サマリー

• PPAPの歴史
• PPAPの問題点
• 脱PPAPの手段4つと課題点

　PPAPは情報漏えいや誤送信対策として普及したメールセキュリティの一種だ。メールにファイルを添付する際に、ファイルをzip形式に暗号化してパスワードをかけて送付し、パスワードは別のメールで送信する手法を指す。日本においてビジネスのデファクトスタンダードとされてきたが、近年は官民で廃止する動きが広がっている。

「PPAP」の正式名称

1. P：Password付きZIPファイルを送ります
2. P：Passwordを送ります
3. A：Angoka（暗号化）
4. P：Protocol（プロトコル）

　「PPAP」という名称は、動画配信サイトから流行した同名のパフォーマンスに着想を得たITコンサルタントの大泰司 章氏が発案した。普及済みの手法に後から否定的な名前が付けられたもので「コメディー的なパフォーマンスにすぎない」と揶揄（やゆ）する意味合いも含む。

PPAPの歴史

　PPAPは2000年代に、パケット盗聴によるメールの盗み見や誤送信対策として普及したが、近年はビジネスシーンの変化や犯罪者の「対策」によってセキュリティの効果が疑問視される。

　2020年7月、マルウェア「Emotet」の流行第2波が発生した。当時使われたのは、マクロの実行によってマルウェアをダウンロードする「Microsoft Word」のファイルをzip形式でメール送信する手口だった。「zipファイルがマルウェアフィルターをすり抜けること」と「日本企業には、メールで送られてきた暗号化ZIPファイルを開く習慣があること」が感染拡大の一因となったとされる。

　2020年11月に当時の平井卓也デジタル担当大臣が行政におけるPPAPの廃止を明言したことに伴い、民間企業でも見直しが進む。日立製作所は2021年10月に日立グループ内でのPPAP廃止を公表した。

PPAPのメリットと問題点

　普及当時のPPAPには「犯罪者が添付ファイルのメールだけ盗み見しても中身は分からない」や「メールの送信先を間違ってもパスワードがなければ情報は閲覧できない」などのメリットがあった。しかし近年は以下のような問題点が指摘される。

• 同じルートでファイルとパスワードを送っているため、アカウント情報を盗んだ犯罪者なら暗号化ファイルもパスワードも盗み見できてしまう
• PPAPを取り入れた企業のほとんどがPPAPをシステムで自動化しており、zipファイル送信とパスワード送信が自動化されているため、誤送信対策にならない
• システムがスマートフォンに対応していない場合、モバイルワークの障壁となる
• zipファイルが暗号化されると悪意あるコードをファイアウォールが検知できず、境界防御を超えてしまう場合がある
• セキュリティ対策が講じられているという安心感から、送付されたファイルに対する危険意識が低下する

脱PPAPの手段4つと課題点

　PPAPを廃止すべきとする機運は高く、複数のベンダーが大体サービスをリリースする。以下に主な手法とメリット、デメリットを紹介する。

メール以外のコミュニケーションツールを併用する

　添付ファイルはメールで送り、パスワードは「Slack」など別のコミュニケーションツールで送る。メールアカウント情報が盗まれていた場合でも情報の漏えいを防止できる一方で、境界防御を越える点と送信者、受信者双方のスイッチングコストが課題となる。

クラウドファイルストレージを利用する

　既存のクラウドファイルストレージを利用し、メールではURLを送付する手法。低コストで導入が可能だがオペレーションの煩雑化や企業のセキュリティポリシーに反する場合は利用できないといったリスクがある。

メールフィルタリング、サンドボックスサービス

　受信した暗号化ファイルを自動で隔離し、サンドボックス内で解凍してセキュリティチェックを実施する。従来のPPAPよりもオペレーションの負担が軽減されるが、導入コストを要する。

Webダウンロード化サービス

　ビジネス向けに特化したファイルストレージを利用し、セキュアなWebブラウザからファイルをダウンロードする。企業のセキュリティポリシーに対応するサービスもあるが導入コストを要する。