パスワード付きZIPファイル“PPAP”はなぜ廃止になった？

国が廃止を決めたパスワード付きZIP。やめた理由で間違っているのは？

1. 廃止に賛成する国民が多かった
2. メールの内容をスマホで見られない
3. セキュリティ対策として適切でない
4. パスワードを送る手段がメールしかない

4.　パスワードを送る手段がメールしかない

重要なファイルをメールで安全に送りたい場合、そのファイルをパスワード付きZIPファイルに圧縮して送り、続けて別メールでパスワードを送るという方法があります。通称「PPAP：（P）パスワード付きZIP暗号化ファイルを送り、（P）パスワードを送る、（A）暗号化、（P）プロトコル」とも呼ばれる方法です。盗聴や誤送信対策になり、かつ、特別なツールは不要という手軽さから、民間企業や官公庁で主に外部へのファイル送信に用いられてきました。

しかし、政府は2020年11月26日から内閣府、内閣官房でこのPPAPを廃止すると発表しました。理由はセキュリティ対策や受け取り側の利便性の観点から適切でないというものです。

PPAPのセキュリティ問題でまず挙げられるのが、パスワードの送信です。メール本文にそのまま記載して相手に送るため、暗号化せず平文であり、誰でも読めてしまいます。そして、パスワード付きZIPファイルも同じ経路のメールで送るため、もし、悪意ある第三者に盗聴されたらファイルもパスワードも相手に渡り、中身を見られてしまいます。こうしたリスクを低減するためには、メール以外の手段でパスワードを送ることが求められます。しかし、電話やFAXなどでパスワードを伝えるのは、あまり現実的ではないでしょう。

そもそもパスワード付きZIPファイルは、誤ったパスワードを何度でも入力できてしまうなど、セキュリティ対策にあまり向いていません。さらに大きな問題はマルウエアへの防御力の低下です。パスワード付きZIPファイルはウイルス対策ソフトのチェックをすり抜けてしまうので、マルウエア感染のリスクが高まります。

利便性の観点では、近年はスマートフォンでメールを確認する人が増えています。iOSもAndroidも、標準機能ではパスワード付きZIPファイルを見ることができません。わざわざ専用ツールをインストールする必要があったり手間が増えたりして、業務効率が低下してしまいます。セキュリティや利便性の問題が広く知れ渡り、政府のデジタル改革関連法案準備室による意見募集のWebサイト「デジタル改革アイデアボックス」に廃止の意見がいくつも寄せられるなど、国民の多くが廃止に賛成するようになりました。これらの背景から内閣府と内閣官房ではPPAPを廃止しました。

外部へのファイル送信は、現在ではオンラインストレージサービスの活用が推奨されています。いうまでもなく、送る側も受け取り側も安全に利用できるよう、適切なID/パスワード管理、2段階認証、SSLによる通信の暗号化など、強固なセキュリティを備えたサービスを採用することは大前提となります。ドラッグ操作でファイルを送受信できるなど利便性も高く、重要なファイルを安全かつ手軽にやりとりできます。

PPAP廃止とオンラインストレージサービスへの移行の流れは、他省庁にも広がりつつあります。企業でもPPAPを使っているのなら、早急に移行するのがよさそうです。

Tips

重要なファイルの外部への送信は今後、以下の方針で行おう。

• オンラインストレージサービスを活用
• 2段階認証や通信経路の暗号化などを採用したセキュアなオンラインストレージサービスを採用
• どうしてもパスワード付きZIPファイルを使わざるを得ない状況なら、パスワードはメール以外の方法で送る