脱PPAPとは、ファイルの送受信にPPAPという方法を使わないようにする取り組みのことです。
PPAPとは以下の頭文字を取ったもので、メールでファイルを送信する際に、パスワード付きzipファイルを送信し、別のメールでそのzipのパスワードを送るセキュリティ対策です。
脱PPAPの他、「PPAP対策」や「PPAP問題(を解決する)」といった言葉で表現されることもあります。
「PPAPは意味がない」といわれることがあります。
PPAPはセキュリティを高める目的で利用されてきた手法ですが、以下のような矛盾点が存在します。
なぜ、このような矛盾点があるにも関わらずPPAPが世の中で利用されるようになったのでしょうか。
PPAPが普及した原因は、プライバシーマーク(Pマーク)審査時にPPAPによるファイル送信方式がセキュリティ対策として認められてしまったのが理由といわれています(※1)。
その結果、PPAPを採用する企業が急増することになり、審査を通すためのPPAPの運用が一般化し、「セキュリティを高める」という本来の目的を見失っていきました(※2)。
※1 パスワード付きzipファイルが誤送信された場合でも、パスワードが送信されなければリスクを防ぐことができるとの判断だといわれています。
※2 ただし、プライバシーマーク(Pマーク)付与機関であるJIPDECは「従来から推奨していない」との見解を発表しています。
PPAPが普及する一方で、セキュリティ対策としての脆弱性を指摘する声も大きくなりました。
大きなきっかけとなったのは、2020年11月24日に当時の平井デジタル改革担当大臣が、内閣府・内閣官房における「自動暗号化ZIPファイルの廃止」を表明した記者会見です。
内閣府、内閣官房で採用していたZIPファイル送付と同じ経路でパスワードを自動で送る方式は、セキュリティ対策の観点からも、受け取る側の利便性の観点からも、適切なものではないと考えています。
引用元:平井内閣府特命担当大臣記者会見要旨 令和2年11月24日
日立製作所は2021年10月8日に、2021年12月13日以降、すべてのメールの送受信でパスワード付きzipファイルの利用を辞めることを表明しています。
日立グループは、2021年12月13日以降のすべてのメール送受信において、パスワード付きZIPファイルの利用を廃止させていただくことを、お知らせいたします。
引用元:日立グループにおけるパスワード付きZIPファイル添付メール(通称PPAP)の利用廃止に関するお知らせ
この他、以下のような企業がPPAPの廃止、または廃止検討をしています。
脱PPAPに取り組まないと、セキュリティ対策が進まないだけでなく、取引先企業からの印象も悪くなってしまう可能性があります。
PPAPがセキュリティ対策として意味のない取り組みだということは、ビジネスの現場では広く知られてるといえます。
そのため脱PPAPに取り組んでいないと「セキュリティに対する認識が甘く、取引において信用できない企業」といった印象を抱かれかねません。
セキュリティ対策としてはもちろん、他社からの信用を得るためにも、脱PPAPに取り組むことをおすすめします。
GoogleWorkspace 単体では PPAP を代替することはできませんが、Gmail に送られてくる PPAP によるファイルの送受信を禁止することは可能です。
GoogleWorkspace の管理者であれば、以下の手順で PPAP の受信拒否設定を行うことが可能です。
以下のように設定項目を追加します。
また、Cmosyは Google Workspace ではサポートされていない以下のようなPPAP代替機能を備えています。
著者
M田 @woods_field_man
吉積情報株式会社 取締役。大学卒業後、ゲーム会社のサーバーエンジニア等を経て、吉積情報に入社。Google ドライブ拡張サービス「Cmosy」等、自社サービスの開発に従事。
Drive Hack管理人