脱PPAPはなぜ必要なのか～今こそ導入すべきツールとは～

これまで多くの企業で導入されてきた、PPAP。セキュリティ対策として活用されてきましたが、最近では「脱PPAP」の動きが始まっています。そこで今回は、PPAPからなぜ脱するべきか、次にどんなセキュリティ対策を行えばよいかを解説します。セキュリティ対策に活用できるIDaaS製品が気になる方は、こちらもあわせてご確認ください。

脱PPAPが始まったきっかけは？

PPAPとは、セキュリティ対策の一つです。「P：パスワード付のZIPファイル送信」「P：パスワードの送信」「A：暗号化」「P：プロトコル」という手順で行われるため、このように呼ばれています。

PPAPはもともと、データを送った後にデータやFAXなどの手段でパスワードを相手に伝えることを想定していました。しかし非常に煩雑なため、「ZIPデータを添付するメールと、パスワードを記載したメールをわければOK」という運用が一般化しています。こういった運用では、十分なセキュリティ対策が取られているとは言えません。

また、2020年11月24日、平井卓也デジタル改革担当大臣はPPAPを内閣府と内閣官房で廃止すると発表。これを機に、「脱PPAP」という言葉が一気に広まりました。

脱PPAPはどのくらい広がっている？

平井大臣の一件から、業界では「これから、脱PPAPの動きが広がっていくだろう」と思われていました。実際のユーザーの状況をご紹介します。複数の企業に対し、以前からPPAPを含んだ暗号化ZIPファイルを利用してメールを送っていたかを質問したところ、下記のような結果になりました。

自動で暗号化、パスワードは別のメール内に記載：約50％
手動で暗号化、パスワードは別のメール内に記載：約30％
暗号化ZIPを使っていなかった：約15％

7割以上の企業で、暗号化したZIPファイルとそのパスワードを別のメールで送るという手法がとられていたことがわかります。

また、に導入・運用を実行、または見直しの方針をとっている企業は3割程度です。見直しの障害としては「代替策がない」「組織内で何も言われない」といった理由が挙げられています。

セキュリティリスクの高いPPAP

脱PPAPに向けて具体的に動いている企業はまだそれほど多くないのですが、このままPPAPの利用を継続していると、重大なリスクが生じる可能性があります。

そもそも、1通のメールが不正アクセスされた場合、もう1通も閲覧されてしまう可能性が高いです。この時点でセキュリティ対策としてPPAPは不十分な手段だと言えます。

2通連続で誤った宛先に送信してしまい、データを見られてしまうリスクもあります。こういった理由から、結局はセキュリティ対策として効果があまりなく、またそもそもZIPファイルはウイルス対策がしにくいという点は大きな問題です。

また、セキュリティ製品はパスワード付ZIPファイルの中まで検知することが出来ず、ファイルを開いてしまいPCがウイルスに汚染される可能性もあります。

さらに、セキュリティ上のリスクだけでなく、「ファイルをZIPファイルに変換し、パスワードを発行し、ファイル送信用とパスワード共有用のメールを2通送る」という煩雑なオペレーションという面から見ても、PPAPからの脱却を目指すべきです。

脱PPAPに役立つHENNGE One

「PPAPにセキュリティ上の問題があることはわかったが、具体的にどう対応すればいいかわからない」という担当者の方も多いかと思います。そんな方へのおすすめが、HENNGEのSaaS認証基盤サービス「HENNGE One」です。2021年10月に発表された新エディションでは、「HENNGE Secure Download」という脱PPAP機能が追加されます。機能の具体的な内容については、【変更点を完全解説】HENNGE Oneの大幅アップデートで何が変わったのか？をご覧ください。

HENNGEはメールセキュリティだけでなく、ID管理においてもセキュリティ強化ができることから、IDaaS製品として大きな注目を集めています。「社内のセキュリティ対策を改善したい」「IDaaS製品にについてもっと詳しく知りたい」という方は、ぜひIDaaSソリューションの徹底比較表をご覧ください。機能やコストなど、複数の点から人気のIDaaS製品を比べることができます。