はじめに、PPAPの現状として、デジタルアーツ株式会社のセキュリティレポートを参考に解説します。
同社は、国内の約2,000組織を対象に調査を行い、「受信メールに何らかのファイルが添付されたもの」に限定し抽出した約300万通以上のメールを分析しました。その結果、約5年(4年と10か月)で業務利用におけるZIPファイルの添付割合が半減(※)しているということが分かりました。
※2020月2月調査では25%、2024年12月調査では12%
※引用:デジタルアーツ株式会社「セキュリティレポート」
ZIPファイル減少の背景には「脱PPAP」の取り組みが挙げられます。PPAPの運用は大量のファイルを圧縮して簡単に送付できる一方で、ウィルス検出のしにくさなどセキュリティリスクが課題となっていました。
2020年にデジタル庁大臣が省庁内でZIP暗号化ファイルを廃止する方針を発表したことをきっかけに、民間企業でも「脱PPAP」の流れが広まっていったのです。現在ではZIPファイルの代わりに、以下のような運用が普及しています。
ZIPファイルの添付割合は約5年で12%にまで減少した一方で、その内訳をパスワードの有無で分類すると、パスワード付きのZIPファイルの割合は半数以上(56%)となっています。
送信元のドメイン数(重複は除く)は6,000以上であり、6,000以上もの組織が未だにPPAPの運用を行っている現状がうかがえます。このことから、全体的な傾向として「脱PPAP」は進んでいる一方で、PPAPのリスクを十分に把握できていない企業や組織が一定数存在し続けているといえます。
また、PPAPのリスクは情シス部門中心に認識できているものの、経営層を含めた社内全体の取り組みにまで持ち上げられていない企業も存在するでしょう。ほかには、企業として課題感は持っている一方、予算などの制約により代替手段の選定・導入に苦戦している企業も存在するのではないでしょうか。
ここでは、PPAPの主なリスクをいくつか解説します。
PPAPの問題点の一つに、セキュリティ対策ソフトによるマルウェアの検知が漏れてしまう点があります。パスワード付きZIPファイルの場合、ウイルスチェックのスキャン対象外となってしまうケースがあり、結果的にマルウェアが組織内に持ち込まれるリスクが高まるのです。
この特性を悪用して標的型攻撃メールなどにPPAP形式の添付ファイルが利用されるケースもあり、従業員が無意識のうちにマルウェアを解凍・実行してしまう危険性も考えられます。
本来、暗号化は第三者から情報を保護する手段ですが、PPAPの運用ではセキュリティを確保するというよりも「暗号化している」という形だけを守るものになりがちです。そのため、根本的なセキュリティ対策にはなりにくく、企業や組織の情報漏洩リスクを低減する効果は十分とは言えません。
また、PPAPの運用ではメールアカウント自体が攻撃者に乗っ取られた場合、ZIPファイルとパスワードの両方が入手されてしまうため暗号化の意味が失われます。
PPAPの運用は、セキュリティ上の問題だけでなく、業務の手間を増大させる要因にもなります。送信者は、ファイルをZIPで暗号化し、パスワードを別送するという手順を毎回行うことが必要です。受信者は、ファイルをダウンロードし、パスワードを入力して解凍する手間が発生します。
この手順が日常業務に組み込まれることで、業務効率が低下し、特に大量のファイルをやり取りする業務では負担が大きくなります。また、パスワードの管理ミスや、メールの送信順の混乱によるトラブルも発生しやすくなるでしょう。
脱PPAPを図るためには、技術的対策と組織対策の両方のアプローチが必要です。
脱PPAPを実現するためには、代替手段としてファイル転送サービスやクラウドストレージの活用が効果的です。ファイル転送サービス(例:GigaFile便など)では、一時的なダウンロードリンクを発行し、相手に共有する方法があります。これにより、メール添付やファイル暗号化の手間を削減することが可能です。
クラウドストレージ(例:Google DriveやOneDriveなど)のダウンロードリンクをメールに記載する方法では、アクセス権を制限したリンクを相手に送ることで、安全性の向上を図れます。
脱PPAPのためには、技術的対策に加えて、組織的対策として経営層や現場を巻き込んだ意識改革が重要です。PPAPのリスクや問題点を社内全体に浸透させるためには、社内研修やeラーニングを活用し、セキュリティリスクを抑えたファイル共有の方法を学ぶ機会を設けることが求められます。
また、フィッシングメールやマルウェアの手口などもセキュリティ訓練として体験することで、添付ファイルの取り扱いに慎重になることの重要性を実感できるようになるでしょう。新たな運用ルールが定着するまでの間は、情シス部門を中心にサポート体制を強化し、従業員が困った際にすぐに相談できる環境を整えることも大切です。
日本企業においてPPAPの運用は減少傾向にある一方で、依然としてPPAPの運用を行っている企業・組織も存在します。PPAPは十分なセキュリティ対策とは言えず、セキュリティリスクや業務効率低下のリスクがあるため早急な対策が必要です。代替サービスを活用する技術的対策と全社一体となって教育・意識改革を行う組織的対策の両輪を軸に、「脱PPAP」を推進していきましょう。
著者:まにほ
大手SIerおよび大手メーカーの情報システム部門で実務経験を積み、現在はITライターとして独立。DX・IT・Webマーケティング分野を中心に多数の記事やコラムを執筆。保有資格:ITストラテジスト、プロジェクトマネージャー、応用情報技術者など。
(TEXT:まにほ、編集:藤冨啓之)
月曜日の朝にお送りする「情シス『目』ニュース」では、日々発信されるさまざまなトピックスを情シス・エンジニアの方々向けに「再解釈」した情報を掲載中。AI、働き方、経済など幅広いニュースをピックアップし、業務に役立つほか、つい同僚に話したくなる面白い話題まで身近で自分事化しやすくお届けします。
イベントページはこちら
30秒で理解!フォローして『1日1記事』インプットしよう!
