PPAPとは、メールで送信される暗号化済みパスワード付きのzipファイルにおけるプロセスを指し、解凍用パスワードは別途メールやテキスト、スプレッドシートやメモ帳などで共有されることが一般的です。
社外のビジネスパートナー間でファイルを共有する際のセキュリティ対策として採用されていましたが、その問題点が浮き彫りになり、現在ではPPAPの使用を停止する企業が増えていると報告されています。
このブログでは、あらゆるPPAPの問題点を見ながら、PPAPの問題を解決する代替のソリューションをご紹介します。
PPAPとは?
PPAPとは、冒頭でもご紹介した通り、メールで送信される暗号化済みパスワード付きのzipファイルにおけるプロセスを指し、解凍用パスワードは別途メールやテキスト、スプレッドシートやメモ帳などで共有されることが一般的です。
「PPAP」という用語は以下の略語として提唱されるようになりました。
- P(Password):パスワードで保護されたZIPファイルの送信。
- P(Password):パスワード自体の送信。
- A(Angouka):ファイルの暗号化。
- P(Protocol):これらの手順を定めたプロトコル。
この略称は、2019年にJIPDECの大泰司章氏によって提案され、同氏が現在PPAP総研の代表を務めています。この名称は、ピコ太郎のヒット曲「PPAP」が「プロトコルっぽい」と一部では話題になったことから、その比喩として採用されました。
皆 様 こ ん に ち は K ee per Se c ur ity の 佐 藤 と 申 し ます 。今回 は PP AP と は と いう こ と で PP AP に 関 する 問 題 点 や 企 業 内 で 禁 止 さ れ て い る 理 由 ま た そ の 解 決 策 に つい て お 話 し い た し ます 。 セ キュ リティ 業 界 で の PP AP と は メール で 送 信 さ れる 暗 号 化 済 み パス ワー ド 付き の Z IP ファイ ル に お ける プロ セス を 指 し 回答 用 パス ワー ド を 別 途 メール や テキ スト スプ レッド シー ト や メ モ 帳 な ど で 共 有 する セ キュ リティ 対 策 の 方 法 です。 社外 の ビジネス パート ナー 間 で ファイ ル を 共 有 する 際 の セ キュ リティ 対 策 と し て 採 用 さ れ て い ま し た が 、その 問 題 点 が 浮き彫り に なり 現 在 で は PP AP の 使 用 を 停 止 する 企 業 が 増 え て い ます 。 PP AP と いう 言葉 は 以 下 の 四 つ の 単 語 の 略 語 と し て 提唱 さ れる よう に なり ま し た パス ワー ド パス ワー ド で 保 護 さ れ た Z IP ファイ ル の 送 信 パス ワー ド ワー ド 自 体 の 送 信 暗 号 化 ファイ ル の 暗 号 化 プロト コル これ ら の 手 順 を 定 め た プロト コル こ の 略 語 は 20 19 年 に Z ip de c の 大 谷 氏 晶 氏 に よっ て 提 案 さ れ ま し た 。この PP AP です が 、日本 国 内 で 広 まっ た 理 由 と し て 公的 機 関 が こ の PP AP 方 式 を 積 極 的 に 推 進 し た わけ で は なく 、当時 の ガイ ド ライン が こ の 方 法 を 明確 に 否 定 し て い なかっ た こ と が 背 景 に あります 。その 結 果 、解 釈 を 誤っ て 多 く の 人 々 や 企 業 が こ の PP AP 方 式 を 採 用 し 、メール で 暗 号 化 さ れ た Z IP ファイ ル を 送 付 し て 、パスワード の 別 途 送 信 が 安 全 で ある と いう 認 識 を 持っ て し ま い 一 般 的 な セ キュ リティ 向 上 の 手 段 と み な さ れる よう に なり ま し た 。しかし PP AP 方 式 に は い く つ か の 大 き な 問 題 点 が あります 。 セ キュ リティ 向 上 の 手 段 と し て 広 が り を 見 せ て い た も の の 、セキュリティ 上 の 危 険 性 に より 政 府 や 多 く の 組 織 で 廃 止 や 禁 止 する 流 れ が 出 て き て い ます 。 20 20 年 11 月 2 4 日 に は 日 本 政 府 も 動 き を 見 せ 、中央 省 庁 で 自動 暗 号 化 Z IP ファイ ル を 廃 止 する 方 針 を 示 し 内 閣 府 及 び 内 閣 官房 で PP AP 廃 止 を 表 明 し ま し た 。 代わり に クラ ウ ドス トレー ジ サー ビス を 利 用 し た 情報 共 有 へ と 舵 を 切り 、多く の 組 織 や 企 業 で も こ の PP AP 方 式 を 廃 止 役 に する も の が 増 え て い ます 。それ で は そ の 問 題 点 と は 一 体 どんな も の な の か 詳 し く 解 説 し て い き ます 。一つ 目 。 マル ウェア 感 染 率 が 高 ま る。 攻 撃 者 は 受 信 者 に 対 し て 信 ぴょ う 性 の 高 い メール を 偽 装 し 、パスワード 付き z ip ファイ ル し て マル ウェア の 入っ た ファイ ル を 更 新 し ます 。 受 信 者 が そ の ファイ ル を 開 く た め に パス ワー ド を 入 力 する と 、マル ウェア が システム に 潜 入 し 、感染 が 開 始 し ます 。その 結 果 、パソコン が マル ウェア に 感 染 する 恐 れ が あ り の 機密 情報 が 不 正 に 流 出 し た り 、デバイス が 外部 から 乗 っ 取ら れ て し う 危 険 性 が 生 じま す 。実際 に 20 19 年 の 終 わり 頃 から 20 20 年 に かけ て 、多く の エ モ テ ット マル ウェア に よ る 被 害 が フィ ッシング メール な ど を 通 し て 増 え ま し た 。 パス ワー ド 付き Z IP ファイ ル を 企 業 内 で 利 用 する と 、ファイル を 開い た り ス キャン し た り と いう プロ セス も 増 え て 、これ を 検 知 し な い 丸 ウェア に よっ て 感 染 する リス ク が 増 え た こ と が 明らか に なり た 。 二 つ 目 業 務 の 効 率 性 が 下 が る。 PP AP に よっ て ファイ ル を 送 受 信 する プロ セス は 二 段 階 に 分 か れ て お り 、ファイル と パス ワー ド を 別々 の 方 法 で 送 る 必 要 が あります 。この 追 加 的 な 手 順 は 業 務 の 流 れ を 遅 く し 、特に 緊急 で ファイ ル を 交 換 する 必 要 が ある 場合 に は それ を 妨 げる 恐 れ が あ り 効 率 性 が 大幅 に 低 下 し ます 。また 誤っ て パス ワー ド が 漏 洩 する リス ク も あ り そ の 結 果 と し て セ キュ リティ 侵 害 の 可能 性 が 高 まり ます 。 三 つ 目 、パスワード の 紛 失 や 盗 難 の 可能 性 で リス ク が 高 ま る。 パス ワー ド が 長 く て 複 雑 で あ ば ある ほど セ キュ リティ は 向 上 し ます が そ の 分 ユー ザー が パス ワー ド を 忘 れ た り 記 録 し て い る メ モ を 紛 失 し た り する リス ク も 高 まり ます 。特に 安 全 で な い 場 所 に パス ワー ド を メ モ し て お く こ と は 第 三 者 に よ る 盗 難 の リス ク を 招 く 可能 性 が あります 。それ だ け で は なく 、パスワード を 暗 号 化 さ れ て い な い メール や スプ レッド シー ト な ど で 保 存 し て い る 場合 、それ ら の デー タ が ハ ッキング さ れ て 盗 ま れる 可能 性 も 否 定 で き ま せ ん 。 パス ワー ド の 紛 失 や 盗 難 は 保 護 さ れ て い る は ず の Z IP ファイ ル へ の アクセ ス を 失 う だ け で なく 悪意 ある 第 三 者 が そ の パス ワー ド を 利 用 し て 重 要 な 情報 に アクセ ス する 道 を 開 く こ と に も なり か ね ま せ ん 。 と は い え 、まだまだ 国 内 で PP AP が 安 全 な 方 式 と いう 認 識 を 持ち 利 用 し て い る 個 人 や 企 業 は 少 なく あ り ま せ ん 。 PP AP 方 式 が 持 つ 問 題 を 解 決 する た め に は 、より 効 果 的 で 安 全 な 解 決 策 の 検 討 が 必 要 と なり ます 。そこ で 具 体 的 な 代 替 案 を 二 つ ご 紹 介 い た し ます 。一つ 目 、パスワード は パス ワー ド マネ ー ジャー で 管 理 する 。 パス ワー ド 付き Z IP ファイ ル の パス ワー ド 管 理 に 関 する 紛 失 や 盗 難 の リス ク の 問 題 を 軽 減 する に は 、パスワード マネ ー ジャー の 利 用 が 有効 です。 パス ワー ド マネ ー ジャー は すべ て の パス ワー ド を 安 全 に 保 存 し 、管理 する た め の ツ ール で あ り 、ユーザー は 一 つ の 強 力 な マスター パス ワー ド を 記 憶 する だ け で 、他 の すべ て の パス ワー ド に アクセ ス で き ます 。また 、 マスター パス ワー ド の 代わり に ロ グ イン する 際 に は 顔 認 証 設 定 や 指 紋 認 証 な ど の 生 体 認 証 を 使 用 する こ と で セ キュ リティ を 向 上 さ せ な が ら も より 簡易 的 に ロ グ イン 作 業 を する こ と が 可能 に なり ます 。これ に より 、パスワード の 記 憶 や 管 理 の 手 間 を 大幅 に 削 減 で き ます 。また 、 自動 入 力 機 能 を 提 供 し て お り 、ロ グ イン プロ セス を 簡素 化 する こ と が で き ます 。これ ら の 解 決 策 を 採 用 する こ と で 、パスワード 付き Z IP ファイ ル の 使 用 に 伴 う セ キュ リティ 上 の リス ク を 軽 減 し デー タ 管 理 の 利便 性 と 安 全 性 を 向 上 さ せる こ と が 可能 です。 二 つ 目 安 全 な クラ ウ ドス トレー ジ サー ビス を 利 用 する PP AP の 問 題 と し て セ キュ リティ 面 の 問 題 と 業 務 の 効 率 性 の 問 題 が あります 。 デー タ の 安 全 な 共 有 と 保 存 を 簡単 に する に は 、信頼 で き る クラ ウ ドス トレー ジ サー ビス の 利 用 が 推 奨 さ れ ます 。 ユー ザー は ファイ ル を クラ ウ ド 上 に アップ ロード し 、 指定 し た ユー ザー ま た は グループ と 共 有 リン ク を 使 用 する こ と で 安 全 に デー タ を 共 有 で き ます 。そこ で こ の 二 つ の 解 決 策 を 両 方 補 う こ が で き る K ee per の パス ワー ド マネ ー ジャ を ご 紹 介 い た し ます 。 PP AP に 伴 う リス ク を 最 小 限 に 抑 え つ つ 、データ の 安 全 性 を 確 保 する な ら K ee per パス ワー ド マネ ー ジャー と ファイ ルス トレー ジ の ア ド オン 活 用 が 最 適 です。 K per パス ワー ド マネ ー ジャー で 複 雑 な パス ワー ド の 管 理 が 容 易 に な る だ け で なく 、ファイル ス トレー ジ を 追 加 す れ ば 、大切 な ファイ ル を 暗 号 化 さ れ た 形 式 で 保 存 お よ び 共 有 が 可能 と な る クラ ウ ド ベース の ソ リュー ション と なり ます 。 重 要 な ファイ ル や 組 織 内 で パス ワー ド の 管 理 の 煩 雑 さ に 悩 ん で お り 、大切 な ファイ ル を 安 全 に 保 管 し 、 特定 の 人 と の み 共 有 し た い 場合 は K ee per Pa ss word Manager に ア ド オン の 安 全 な ス トレー ジ を 追 加 する こ で 、これ ら の 機 能 を 実 現 する こ と が 可能 に なり ます 。 弊 社 の ウェ ブ サイト に 無 料 ト ライ アル や さらなる 詳 細 な ど ござい ます の で 、ご 興 味 の ある 方 は ぜ ひ ご覧 く だ さ い 。今回 の ウェ ビ ナー を ご覧 い た き ありがとう ござい ま し た
なぜPPAP方式が日本で広まってしまったのか?
公的機関がPPAP方式を積極的に推進したわけではないことは明らかですが、過去のガイドラインがこの方法を明確に否定していなかったことも事実です。
その結果、ガイドラインの解釈を誤り、メールで暗号化されたzipファイルを送付し、パスワードは別途送る手法が安全だと誤解する人々や企業が増えました。
組織はPPAPを廃止や禁止する流れが増えている
この方式はセキュリティ向上の手段として広がりを見せているものの、一部からはセキュリティ上の危険性があり、政府や多くの組織では廃止や禁止する流れが出てきています。
2020年11月24日には、日本政府も動きを見せました。中央省庁で「自動暗号化ZIPファイルを廃止」する方針を示し、内閣府および内閣官房でPPAP廃止を表明しました。
代わりにクラウドストレージサービスを利用した情報共有へと舵を切りました。その後、多くの組織や企業でもこのPPAP方式を廃止や禁止する企業が増えています。
PPAPの危険性とは?問題点とは?
PPAPは、あらゆるセキュリティ面での問題点が浮き彫りになっています。
そこで、どのようなセキュリティリスクがあるのかご紹介します。
マルウェア感染率を高める
PPAPを使った手法では、ファイルが暗号化されているために、受信者側が受信時にメールのマルウェアスキャンがバイパスしない場合もあり、悪意あるファイルが見過ごされ、マルウェアがユーザーのシステムやデバイスに侵入するリスクが高まります。
また、パスワードで保護されたzipファイルが安全であるという誤解を招くことも、セキュリティリスクを増大させる要因です。
業務の効率性が下がる
PPAPによってファイルを送受信するプロセスは、二段階に分かれており、ファイルとパスワードを別々の方法で送る必要があります。この追加的な手順は業務の流れを遅くし、特に緊急でファイルを交換する必要がある場合には効率性が大幅に低下します。また、誤ってパスワードが漏洩するリスクもあり、その結果としてセキュリティ侵害の可能性が高まります。
パスワードの管理が手間になる
PPAPのプロセスでは、解凍用のパスワードも安全に管理し、適切に伝達する必要があります。パスワードを暗号化されていない、メモ帳や、スプレッドシートなどの多くの人に共有される環境では、その機密性を保持するのが難しくなります。
また、パスワードの安全性を保つためには、強力なパスワードを生成し、適切に管理すること自体が追加の負担となります。
メールやテキストなどによるパスワードの誤送信やパスワードの紛失が発生するリスクも伴います。
PPAPの問題を解決する代替案と対策
パスワード保護されたZIPファイルを使用する際の問題を解決するためには、より効果的で安全な対策として代替手段を検討することが重要です。
以下にその問題を軽減または解決する二つの解決策を示します。
1.パスワードはパスワードマネージャーで管理する
パスワード付きZipファイルのパスワード管理に関する問題(紛失や盗難のリスク)を軽減するためには、Keeperのようなパスワードマネージャーの利用が有効です。パスワードマネージャーは、すべてのパスワードを安全に保存し、管理するためのツールであり、ユーザーは一つの強力なマスターパスワードを記憶するだけで良く、それを使って他のすべてのパスワードにアクセスできます。また、マスターパスワードの代わりにログインする際には、顔認証設定や指紋認証などの生体認証を使用することで、セキュリティを向上させながらも、より簡易的にログイン体験が可能になります。
これにより、パスワードの記憶や管理の手間を大幅に削減できます。また、自動入力機能を提供しており、ログインプロセスを簡素化することができます。
これらの解決策を採用することで、パスワード付きZipファイルの使用に伴うセキュリティ上のリスクを軽減し、データ管理の効率性と安全性を向上させることが可能です。
2.安全なクラウドストレージサービスを利用する
PPAPの問題として、セキュリティ面の問題と業務の効率性の問題がありました。
データの安全な共有と保存を簡単にするには、信頼できるクラウドストレージサービスの利用が推奨されます。
特にKeeperのアドオンサービスのような「ビジネス向け安全なファイルストレージ」では、データの暗号化、アクセス制御、セキュリティプロトコルの厳格な適用など、高度なセキュリティ機能を提供しています。
ユーザーはファイルをクラウド上にアップロードし、指定したユーザーまたはグループと共有リンクを共有することで、安全にデータを共有できます。
まとめ:Keeper®︎で組織のPPAP問題を対策し解決
PPAPに伴うリスクを最小限に抑えつつ、データの安全性を確保する方法を探しているなら、KeeperパスワードマネージャーとKeeper安全なクラウドストレージサービスが最適な解決策を提供します。
Keeperを使えば、複雑なパスワードの管理が容易になるだけでなく、大切なファイルの安全な保管と共有も可能になります。
特に組織内でパスワード管理の煩雑さに悩んでおり、大切なファイルを安全に保管し、特定の人とのみ共有したい場合は、Keeperパスワードマネージャーにアドオンの安全なストレージを追加することでこれらの機能を実現することが可能になります。
まずは、Keeperの14日間の無料フリートライアルをお試しください。
ビジネス版: 14日間の無料体験を試す
パスワード 
