全2回　「脱PPAP」でセキュリティ強化＆企業変革を実現する方法 《連載:第1回》 PPAPを止めるべき理由とは？

脱PPAPとは文字通りPPAPを止めること。DXや生成AIほど目立ってはいませんが、企業のセキュリティとコンプライアンス強化のために近年ビジネスで重要性を増している取り組みです。今回は脱PPAPの必要性と活用されているソリューション、そしてその意外な効果まで、2回にわたって紹介します。

そもそもPPAPとは何か

PPAPとは、パスワード付きZIPファイルをメール送信した後、別のメールで復号用パスワードを送信するファイル共有方法を指します。大体2010年頃から、情報漏えいの主な発生原因であるメールの誤送信と盗聴に対するセキュリティ強化策として、官公庁や多くの企業で利用されるようになりました。

ちなみにPPAPという名称は、次の4つの単語の頭文字から取られたものです。

• Password：パスワード付きZIPファイルを送ります
• Password：パスワードを送ります
• Angoka：暗号化
• Protocol：プロトコル（手順）

“暗号化”だけ英語（encrypt、encodeなど）ではなくローマ字であることに違和感が拭えない方がいるかもしれませんが、PPAPの提唱者によると、元々2016年に世界的に大ヒットしたピコ太郎さんの曲『ペンパイナッポーアッポーペン』の略称（PPAP）から思い付いた名称とのことで、“A”を埋めるために必要な処置だったということでしょう。

PPAPがスタンダードな手法として広まった理由の一つとして、プライバシーマーク（Pマーク）取得の条件と言われていたことが挙げられます。しかし、こうしたネーミング由来からもわかるように、専門家などからは主に効率面とセキュリティ面で課題があるとして批判されてきました。

効率面での課題は、送受信者ともに手間が掛かること。送信者は2回に分けてメールを送らなければいけませんし、受信者はZIPファイルの復号・解凍作業が必要です。社外からスマートフォンでファイルをチェックしたくても、機種によっては専用アプリをダウンロードしなければ開けないケースもあります。

セキュリティ面での問題点は大きく次の3点に集約されます。

①ZIPパスワードの脆弱性

実はZIPで広く採用されている「ZipCrypto（Zip 2.0暗号化）」という暗号化方式は暗号強度が弱く、ネット上で入手できる解析ツールを使えば短時間で解読することができます。ZIPではもう一つ、「AES-256」という強度の高い暗号方式が使われることもありますが、Windowsの標準機能では解凍できないという弱点を持っています。

②通信経路上の盗聴リスクを排除できない

メール通信は標準では暗号化されていないため、1通目（ZIPファイル付きメール）の直後に同経路で2通目（パスワード）を送信すると、両メールとも盗聴される可能性が高いと言われています。また、1通目送信後に誤送信に気付いて2通目をストップしても、①で述べた通り1通目だけでパスワードが解読される可能性があり、誤送信対策としての効果も疑われています。

③ウイルスチェックをスルーする

通常のウイルス対策ソフトウェアではパスワード付きZIPファイルの中身をスキャンできず、ウイルスに感染したメールをスルーしてしまいます。近年、自らをパスワード付きZIPファイルで暗号化する「Emotet(エモテット)」というマルウェアが、この仕組みを悪用してZIPファイルでやり取りしている企業を標的に多くの被害をもたらしています。

なお、Emotetを始めとするサイバー攻撃の事例については下記の記事で詳しく紹介しています。
《連載:第1回》 ランサムウェアだけではない！国内企業のサイバー攻撃被害事例

いかにして“PPAP神話”は崩壊したか

一部からこのような様々な問題点を指摘されてきたにもかかわらず、一般には「パスワード付きZIPメールは有効なセキュリティ対策である」と長年にわたって信じられてきました。しかし、そんな“PPAP神話”も遂に崩壊の時を迎えます。先陣を切ったのは、意外にも（？）政府でした。

2020年11月17日、平井卓也デジタル改革担当大臣（当時）が、内閣府と内閣官房での自動暗号化ZIPファイル送信を廃止する意向であると発言。1週間後には、同月26日からの脱PPAPを表明します。その理由として挙げられていたのは、国民から意見やアイデアを募集するWebサイト『デジタル革命アイデアボックス』（現：『デジタル庁アイデアボックス』）内の投票で、PPAP廃止賛成の投票数がトップだったことでした。

さらに平井氏の最初の発言の翌日には、プライバシーマーク制度を運営する一般財団法人日本情報経済社会推進委員会（JIPDEC）が、PPAPについて「メールの誤送信等による個人情報の漏洩を防げないこと等から、従来から推奨しておりません」（※）と発表。それまで広く行き渡っていた「PPAPはプライバシーマーク取得の条件」という認識が、実は事実ではなかったことが知られるようになったのです。

※出典：メール添付のファイル送信について｜一般財団法人日本情報経済社会推進委員会

一度綻（ほころ）びを見せたPPAP神話は、その後崩壊の一途を辿ります。文部科学省、北海道庁といった行政機関だけでなく、俊敏性が強みのIT系ベンチャー企業を皮切りに、翌2021年以降はセキュリティ意識の高い大企業も続々と脱PPAPを宣言。こうした動きの背景としては、先述のEmotetが2021年初頭にヨーロッパでテイクダウンした（＝停止された）にもかかわらず、同年11月に再び猛威を振るい始めたことも挙げられます。

そしてPPAP神話が完全に崩壊し、セキュリティ対策として万全でないことが周知された現在、もはや脱PPAPを実現していない企業は皆無……という訳ではもちろんありません。企業には様々な事情がありますし、中には「脱PPAP自体は決定しているが、代替策がわからない」という企業も存在するでしょう。そこで後半記事では、PPAPの代替策として活用されているソリューションと選定のポイントなどを紹介します。