PPAPとは?
PPAPとはファイル共有の手法のひとつで、「パスワード付きのzipファイルをメールに添付・送信し、zipファイルのパスワードを別途メールで送る」という一連の流れを指します。
PPAPの語源には諸説ありますが、以下の頭文字を取ったとする説が有力とされています。
- 【P】パスワード(Password)付きzipファイルを送ります
- 【P】パスワード(Password)を送ります
- 【A】暗号(Angou)化します
- 【P】プロトコル(Protocol)
PPAPは、メールでのファイル共有における有力なセキュリティ対策として広く浸透していました。
しかし一方で、かねてよりPPAPのセキュリティ上の欠陥を指摘する意見や、セキュリティ対策としての有効性を疑問視する意見も少なくありませんでした。
詳しくは後述しますが、2020年に政府がPPAP廃止の方針を発表したことにより、民間企業においてもPPAPによるファイル共有を禁止する流れが広まりつつあります。
PPAPの問題点
ファイル共有方法として広く利用されてきたPPAPですが、具体的にどのような問題があるのでしょうか。
次は、PPAPによってファイル共有を行うことの問題点を確認していきましょう。
- メールの盗聴リスク
- マルウェア感染のリスク
- 暗号強度の低さ
- 生産性が低下しやすい
メールの盗聴リスク
PPAPの問題点のひとつに、メール盗聴のリスクが挙げられます。
通常、PPAP方式でファイル共有を行う場合、ファイルを添付したメールとパスワードを記載したメールは、同一のネットワーク(通信経路)を介して送られます。
そのため、当該ネットワークがサイバー攻撃の標的となった場合、ファイルを添付したメールとパスワードを記載したメールの両方が盗聴されてしまう可能性が高く、セキュリティ対策として機能しません。
マルウェア感染のリスク
マルウェア感染のリスクもまた、PPAPの問題点だと言えます。
マルウェアとは、コンピューターウイルスやスパイウェアなど、コンピューターやユーザーに被害をもたらす悪意あるソフトウェアの総称です。
たとえば近年では、「Emotet(エモテット)」や「IcedID (アイスドアイディー)」といった、メールを介したマルウェアの被害が数多く報告されています。
マルウェアに感染したファイルを暗号化して送付した場合、セキュリティ対策ソフトでマルウェアを検知することができず、被害が拡大してしまう恐れがあります。
zipファイルの暗号強度の低さ
zipファイルの暗号強度もまた、PPAPが問題視される要因のひとつです。
zipファイルの主な暗号化方式は、「AES-256」と「ZipCrypto」の2種類があります。
前者の「AES-256」はセキュリティ強度の高い暗号化方式ですが、使用できるOSが限定的であることから、多くの企業では「ZipCrypto」が用いられています。
しかし、「ZipCrypto」は専用のソフトウェアで容易に解読することができ、機密情報の暗号化には不向きだと言えます。
また、たとえ「AES-256」で暗号化していたとしても、ファイルとパスワードを同じネットワークで送信するPPAP方式では、メール盗聴された場合に情報漏洩につながってしまうため根本的な問題解決にはなりません。
生産性が低下しやすい
PPAPによるファイル共有は、送信者・受信者の双方にとって多くの手間がかかり、生産性が低下しやすいという課題もあります。
送信者は、zipファイルにパスワードを設定したうえでメールに添付・送信し、それから別途メールでパスワードを送信するため、2段階の工程を経る必要があります。
受信者は、1通目のメールに添付されたzipファイルをダウンロードし、2通目のメールに記載されたパスワードをコピー&ペーストしてzipファイルを解凍しないとファイルを確認することができません。
このほか、受信者はスマートフォンやタブレット端末からパスワード付きzipファイルを展開することができなかったり、送信者は誤送信を防ぐためのダブルチェック体制が必要になったりと、PPAPには生産性の低下を招く要因が多く存在しているのです。
PPAP廃止に関する政府・企業の動き
上記のようにPPAPには多くの問題点があり、政府や企業で「PPAP廃止」の流れが広まっています。
従来、内閣府・内閣官房ではzipファイル送付と同じ経路でパスワードを自動送信するPPAP方式を採用していましたが、2020年11月に平井卓也デジタル改革担当大臣(当時)が内閣府・内閣官房における「自動暗号化ZIPファイルの廃止」を発表しました。
その後、2022年1月には文部科学省もPPAP廃止を発表し、今後はクラウドストレージサービスによるファイル共有に移行していく方針を示しました。
また、日立グループやNTTデータ、NECなどの大企業を中心にPPAP廃止の方針を発表するなど、民間企業においても脱PPAPの動きが活発化しつつあります。
PPAPを禁止する場合の代替手段とは?
では、PPAPを禁止した場合、ファイル共有の方法としてどのような代替手段が考えられるのでしょうか。
次は、PPAPの代替策として考えられる3つの方法を紹介します。
ファイルとパスワードを別々の方法で共有する
PPAPの代替手段として、ファイルとパスワードを別々の方法で共有する方法が考えられます。
暗号化したzipファイルをメールに添付して送信し、パスワードはメール以外の方法、たとえば電話やSMS(ショートメッセージサービス)、チャットツールなどで知らせます。
この方法であれば、zipファイルとパスワードが同時に盗聴されてしまうリスクを解消することが可能です。
しかし、zipファイルをメールで送信するという点は変わらないため、マルウェア感染リスクやzipファイル自体の暗号強度の問題は残ります。
また、パスワードを別の手段で知らせるため、送信者・受信者双方の手間が増えてしまう点も考慮する必要があります。
S/MIMEでファイル送信する
PPAPの代替策として、「S/MIME(Secure / Multipurpose Internet Mail Extensions)」を利用する方法も挙げることができます。
S/MIMEを用いることでメール自体を暗号化することができ、万が一盗聴されたとしても内容を解読することができず、情報漏えいのリスクを軽減することができます。
また、メールに電子署名を施すため送信者の身元を証明することができ、なりすましや改ざんを防止することができます。
送信者・受信者の双方がS/MIMEに対応している必要があるため、PPAPの代替手段として導入ハードルが高い点が難点と言えます。
クラウドサービスによるファイル共有
PPAPに代わる3つ目の方法が、クラウドストレージやファイル転送サービスなどのクラウドサービスを介したファイル共有です。
送り手のユーザーがインターネット上のクラウドサーバーにファイルをアップロードし、受け取り手のユーザーがダウンロードすることでファイルを共有する手法です。
インターネットに接続できる環境であれば時間・場所を問わずにファイルを共有することができるほか、暗号化通信や認証システム、ウイルスチェック、ログ管理機能やタイムスタンプ機能など、セキュリティ対策が充実しているサービスも多く存在します。
文書ファイルの送受信・一元管理なら「invoiceAgent」
次は、PPAPに代わる具体的なソリューションのひとつとして、ウイングアーク1stが提供する「invoiceAgent(インボイスエージェント)」を紹介します。
企業間取引におけるファイルの送受信なら「invoiceAgent 電子取引」
「invoiceAgent 電子取引」は、企業間取引におけるファイルの送受信をクラウド化するソリューションです。
請求書や納品書など、PDF形式の帳票をアップロードするだけで取引先にWeb配信することができ、取引先から発行される帳票も「invoiceAgent 電子取引」上で受け取ることができます。
複数の取引先とのやり取りを「invoiceAgent 電子取引」上で完結でき、法人番号を基に配信先を設定したり、アップロードしたファイルの開封状況を確認したりできるため、企業間でのファイル共有を効率化することが可能です。
文書ファイルの一元管理を実現する「invoiceAgent 文書管理」
「invoiceAgent 文書管理」は、文書ファイルの一元管理を実現するソリューションです。
「invoiceAgent」や他システムで作成・出力した文書ファイルをまとめて取り込み、自動で仕分け・保存を実行します。
複雑な条件に対応する高度な検索機能を備えているため、必要に応じて速やかにファイルを閲覧・出力することができます。
また、ファイルの閲覧権限を個別に設定したり、タイムスタンプ機能や証跡管理機能によって改ざんを防止・検知したりと、セキュアな環境でファイルを共有・管理することが可能です。
「invoiceAgent」でファイル共有を効率化した事例
最後に、「invoiceAgent」を活用してファイル共有を効率化した事例をご紹介します。
請求書のWeb配信化でメール添付配信を根絶(アスノシステム)
「会議室.COM」をはじめとしたサイト運営事業を展開するアスノシステム株式会社は、「invoiceAgent」の導入によって請求書のWeb配信化を実現しました。
同社では従来、取引先への請求書を郵送で送付していましたが、新型コロナウイルス感染症流行の影響で取引先がリモートワークに移行しはじめ、メール添付による請求書送付の依頼が増加しました。
しかし、メール添付による請求書の配信は事務作業の煩雑化を招き、セキュリティ面でも課題となっていました。
そこで同社は、メール添付による請求書配信の課題を根本的に解消するため、「invoiceAgent」によるWeb配信へと切り替えることを決断。
「invoiceAgent」の導入後、メール添付での請求書送付がゼロになり、請求書発行における作業時間を3分の1まで短縮することに成功しました。
▼事例詳細はこちら
アスノシステム株式会社のinvoiceAgent導入事例をもっと見る
Web配信への切り替えで作業時間が半減(エムオーテックス)
「LanScopeシリーズ」をはじめとしたソフトウェア開発・販売を行っているエムオーテックス株式会社は、「invoiceAgent」の導入で請求書をWeb配信する仕組みを構築しました。
同社では従来、請求書発行業務を紙ベースで行っており、担当スタッフが2人がかりで月に約40時間を費やしていました。
また、2020年4月に発令された緊急事態宣言に伴い在宅勤務が基本となったことで、一部の取引先に対しては請求書をメールに添付して送付することになりました。
しかし、メール添付による請求書送付は、メール本文や宛先、添付ファイルのダブルチェックを都度行う必要があり、今まで以上に工数がかかってしまいました。
そこで同社は、請求書発行をWeb配信化するために「invoiceAgent」を導入。
これにより、郵送とメールによる請求書発行業務の工数が半減したほか、在宅勤務での対応基盤が整うなど、大きな成果を実感しています。
▼事例詳細はこちら
エムオーテックス株式会社のinvoiceAgent導入事例をもっと見る
いつでもどこでもWeb上で図面を確認できる環境を構築(京都電子工業)
分析計測機器の専門メーカーである京都電子工業株式会社は、「invoiceAgent」を活用していつでも、どこでもWeb上で図面を確認できる環境を構築しました。
同社では従来、スタンドアローン型の文書管理システムで図面やマニュアルの管理をしていました。
しかし、実際に図面を使う際は、図面を印刷して持ち運ばなければならず、手間やセキュリティリスクが課題となっていました。
そこで同社は、「invoiceAgent」で図面とマニュアル類の管理をクラウド化することを決断。
モバイルPCやタブレットがあればどこでも図面を見ることが可能になったほか、製造系ERPとのAPI連携によって製品ロットと図面を紐づけたことで、必要なデータへ速やかにアクセス・閲覧できる環境を構築することに成功しています。
▼事例詳細はこちら
京都電子工業株式会社のinvoiceAgent導入事例をもっと見る
まとめ
今回は、PPAPの概要や問題点、PPAPを禁止する場合の代替策などを紹介してきました。
ファイル共有方法として多くの機関・企業で採用されてきたPPAPですが、セキュリティ上のリスクが指摘されているほか、業務効率という観点でも課題があります。
政府や大企業が「PPAP廃止」の方針を打ち出したことで、今後は中小企業においてもPPAPによるファイル共有を禁止する動きが加速していくと予想されます。
現在、PPAPによるファイル共有を行っている企業は、今回ご紹介した「invoiceAgent」の導入を検討してみてはいかがでしょうか。