暗号化送信方式の一つであるPPAP。2005年ごろから登場し、現在にいたるまで多くの企業が使用してきました。
しかし、近年ではPPAPが問題とされ、政府からも危険性が指摘されています。脱PPAPの取り組みも進められており、新しいデータ共有方法が必要といえるでしょう。
PPAPがなぜダメなのか。PPAPが抱える問題点や代替策など、PPAPについて紹介します。
PPAPとは?基本の意味と使われる背景
PPAPとは、どのようなものなのでしょうか?基本的な仕組みや広まった背景などを確認してみましょう。
PPAPの基本の意味
PPAPとは、暗号化ファイルとパスワードを、別々のメールで送る送信方式のことです。ファイルとパスワードを別にすることで、片方だけハッキングされても内容が露見されるリスクがありません。
PPAPの意味は、それぞれ以下のようになっています。
- P:パスワード付きZipファイルの送信
- P:パスワードの送信
- A:暗号化(Angouka)
- P:プロトコル(送受信方法)
海外では、「Password Protected Attachment Protocol」の略として紹介されることもありますが、特定の国際標準プロトコルとしては存在していないようです。
PPAPの使用により、当初は盗聴の心配がなく、安心してZipファイルを相手に渡せると考えられていました。
PPAPが使われる背景
PPAPが使われる背景には、個人情報保護法施行による影響が挙げられます。個人情報保護法施行とは、2005年に施行された個人情報を守るための法律のことです。個人情報の使用目的や情報提供の同意などを定めることで、個人の権利や利益を守ることを目的としています。
個人情報保護法の施行により、多くの企業がデータの扱いを見直すようになりました。プライバシーマークの取得は「個人情報の扱いがしっかりしている」ことを意味し、企業の信頼を高めるため取得が目指されたのです。
そこで発案されたのが、ファイルとパスワードを別々に送信するPPAPです。ファイルとパスワードを別々に扱うことで、安全性を高めることができます。導入にコストと手間もあまり必要ないことも相まって、多くの企業で導入が進められていくこととなります。
ただ、一見すると画期的な対策に思えるPPAPですが、後にPPAPの問題点が明らかになりました。そのことから、現在ではPPAPでは安全性が保証できないとして、代替策を使用した脱PPAPの考えが強まっています。
政府・企業が推進するPPAP廃止の動き
多くの企業で使用されているPPAPですが、近年では、脱PPAPの取り組みが進められています。その理由としては、PPAPの秘匿性に不備があり、安全性に不安があるからです。
理由はいくつかありますが、その中の一つが暗号強度の脆弱性です。Zipファイルの暗号化方式は単純であり、知識がある人だと簡単に解読ができてしまいます。
特に、近年はデジタル技術の発展が著しい時代です。解読方法も広く知られるようになり、PPAPの防御性能では頼りないといえるでしょう。
デジタル庁や内閣府が安全性に不安があることから、2020年に「自動暗号化Zipファイルを廃止」する方針を示しています。
そして、その方針に伴う形で、多くの企業が脱PPAPの考えを強めています。
製造業にも別の「PPAP」がある?
話は変わりますが、製造業には別の「PPAP」も存在しています。PPAPとは「生産部品承認プロセス(Production Part Approval Process)」の略称であり、自動車メーカーがサプライヤーから部品を調達する際に、その部品が要求を満たしていることを確認するためのプロセスのことを指します。
簡単に説明すると、海外から取り寄せた部品や材料を、企業や工場が確認する作業のことです。アメリカ自動車工業会 (AIAG) が、PPAPに関する一連の流れをマニュアル化しています。
同じPPAPではありますが、メールの送信方式と生産部品承認プロセスでは、内容は全く異なります。自動車関係の企業や工場に勤めている人は、混同して間違えないよう注意してください。
PPAPの危険性と問題点
PPAPがなぜダメなのか。PPAPが持つ危険性や問題について紹介します。
- 暗号強度の脆弱さとネットワーク盗聴リスク
- Zipファイル暗号化の脆弱性
- マルウェア感染の可能性
- パスワード無限試行の危険性
- メールの誤送信が情報漏えいに直結する
- 受信者側の負担と利便性の欠如
暗号強度の脆弱さとネットワーク盗聴リスク
PPAPは、暗号強度が脆弱である欠点があります。PPAPの暗号強度は「ファイルとパスワードが別で、片方が盗聴されても、もう片方がわからないと解読できない」ことにありますが、ファイルとパスワードの両方を盗聴されてしまうと、意味がなくなってしまいます。
結局のところ、PPAPは盗聴対象が二つに増えるだけに過ぎません。ハッキングに慣れている人への対策としては、効果が低いといえるでしょう。
しっかりと対策を取るためには、PPAP以外にも、ハッキングをされないためのネットワークセキュリティが必要となります。
Zipファイル暗号化の脆弱性
PPAPだけではなく、使用するファイルの暗号強度も脆弱です。PPAPではZip形式によって暗号化を行ないますが、使用される暗号化方式によっては簡単に解読ができてしまいます。
使用される暗号化方式は、主に以下の2種類です。
- ZipCrypto:多くのOSで採用されている形式。汎用的であり、暗号強度は低い
- AES-256:アメリカで開発された形式。暗号強度は高い
安全性が低いとされるのは、ZipCryptoを使用した暗号形式です。解読ツールも広く出回っており、一般的な家庭用パソコンからでも解読ができてしまいます。
AES-256を使用していれば安全性は高いといえますが、日本ではZipCryptoが主流であり、AES-256を使用するためには業者へ相談する必要があるでしょう。
また、いくらAES-256の安全性が高いとはいえ、パスワードが単純だと意味がありません。日本人はネットリテラシーが低く、パスワード設定もおざなりな人が多いです。デジタル意識の低さも、暗号化の脆弱性に輪を掛けているといえます。
マルウェア感染の可能性
PPAPを使用すると、マルウェアの侵入がわかりません。パスワードによってパッケージされているため、ファイルの中までウイルスチェックができないからです。
一見すると、ウイルスチェックをすり抜けたことで安全なファイルだと思うことでしょう。しかし、実際にはマルウェアに感染しており、ファイルを解凍したことでマルウェアに感染する可能性があります。
もちろん、怪しいメール・ファイルは開かないのが鉄則ですが、近年では他の企業に成りすませた偽装メールも増えています。
安全性を考慮するなら、マルウェアの感染経路とならない通信方式をおすすめします。
パスワード無限試行の危険性
PPAPの解読は、無限に試行することが可能です。パスワードは英単語や数字の組み合わせによって構成されるため、一つずつ試していけば、いつかは答えにたどりつけます。
もちろん、解読するまでにはある程度時間はかかりますが、あくまでも時間がかかるだけです。総当たりで解読するツールも出回っており、一般的な家庭用のパソコンでも解読ができてしまいます。性能の良いパソコンなら、一日もあれば解読ができてしまうでしょう。
どんなに複雑なパスワードであっても、無限に試行ができるのなら安全性は低くなります。
メールの誤送信が情報漏えいに直結する
ユーザーのミスも、問題の一つです。メールを誤送信してしまうと、それだけで情報が流出するリスクが高まります。
ヒューマンエラーは、どんなに注意しても生じる可能性があります。万が一の可能性も考慮して、誤送信しないための仕組みや、誤送信しても情報が流出しにくい仕組みを採用する必要があるでしょう。
受信者側の負担と利便性の欠如
PPAPは、ファイルの確認が面倒といった欠点もあります。ファイルを確認するためにはパスワードを別で受け取る必要があり、人によっては手間に感じるでしょう。
また、相手に送る際も、ファイルを圧縮する必要があります。そのまま渡すことができず、利便性が低いです。
数が多ければそれだけ手間が増え、業務の効率を落とす結果となります。
PPAPの代替策として有効な各種クラウドサービス
危険性が問題視されるPPAPに変わり、近年では以下のようなサービスが注目されています。
クラウドストレージ
クラウドストレージとは、インターネット上にデータを保管するオンラインストレージのことです。ストレージとして使用するだけではなく、保管先のURLを共有することでデータの送受信を可能とします。
クラウドストレージの特徴としては、データ共有が簡単にできることが挙げられます。メールを送る必要がないことから、誤送信を防ぐことができるでしょう。アクセス権限も設定が可能であり、使用できる人を制限できます。
また、ストレージ側で暗号化やウイルススキャンも実施しており、一定のセキュリティ対策が期待できます。ただし、サービスによって安全性は異なるため、使用者側の対策も必要です。
ほかにも、メール以上の送信量を可能とします。デジタル社会と呼ばれる近年、動画などの大容量データを送る機会も多いことでしょう。メール以上にたくさんのデータを送れることから、近年の仕組みに合った送信方式だといえます。
ビジネスチャット
ビジネスチャットとは、仕事での使用を目的としたチャットツールのことです。グループチャットが可能であり、実際の会議のように、リアルタイムなコミュニケーションができます。
ビジネスチャットの特徴としては、リアルタイムでの情報共有が挙げられます。入力したメッセージがチャットボックスに表示され、ルーム参加者全員がすぐに確認可能です。画像や動画といったデータも添付ができ、データ共有にも活用できるでしょう。
PPAPのように暗号化やパスワードの設定も必要がなく、受信者側の負担も少ないです。
また、ツールによっては誤送信したメッセージ・ファイルを消すことも可能です。すぐに削除すれば、ダウンロードされることもありません。
基本的にはメッセージでのやり取りが基本ですが、ファイルの共有やビデオ通話による説明といったこともでき、幅広く活用できます。
グループウェア
グループウェアとは、社内情報やデータを共有するシステム(ソフトウェア)のことです。システムに含まれる「スケジュール管理」「掲示板」「メール」「報告書」「タイムカード」などを共有して使うことで、メンバー同士の情報共有を円滑に行なえます。
グループウェアの特徴としては、情報共有の効率化が挙げられます。同じシステムを使用するため、メンバーの進捗がわかりやすいです。
ファイルの共有もできるため、メールのようにわざわざ相手に送る必要はありません。
また、コミュニケーションツールとしての側面もあります。緻密に連絡を取り合うことで、認識ズレを最小限に抑えられるでしょう。
業務の統合管理がしやすく、現状に合わせて業務フローを最適化することで、業務効率を高めることができます。
まとめ:知っておきたいPPAPの基礎、ここまで押さえれば安心
PPAPとは、ファイルとパスワードを別に扱う送信形式のことです。パスワードを別にしておけば、ファイルを盗聴されても中を見ることができなくなります。導入も手軽であり、登場から近年まで、多くの企業が使用してきたと思います。
しかし、暗号強度の脆弱性やそれに伴うリスクが指摘されたことで、現在では脱PPAPへの取り組みが強くなっています。代替案となるツールも数多く登場しており、今後は別のツールを使用したデータ共有が主流になるでしょう。
現在でも、PPAPを使用する企業は多いです。もしかすると、現在勤務している企業や工場でもPPAPが使われているかもしれません。大切なデータや情報を守るために、今こそデータ共有方法を見直すことが求められます。
