普段仕事をしていて非常にわずらわしく、無駄に感じてしまうのが、ファイルをパスワードで暗号化し、パスワードを別送するPPAPです。PPAPは「Password付き暗号化ファイルを送ります、Passwordを送ります、Aん号化(暗号化)Protocol(プロトコル、手順)」の略です。
暗黙の了解のように行っているPPAPですが、なぜこのような手間をかけなければいけないのか正直疑問に思っていました。実際にPPAPは業務効率の問題だけでなく、セキュリティの観点でも問題であるという点が示され、徐々に脱PPAPが進んでいます。
なぜPPAPはダメなのか
セキュリティ面
まずセキュリティの観点で効果が薄いという問題があります。
1点目に誤送信対策として無意味であるという点です。パスワード付きフェイルを誤った宛先に送信した場合、パスワードを送付する前に宛先の誤りに気付く必要があります。しかし、パスワードを送る際も同じメールで追送する形で送付するため、宛先の誤りに気付くことは難しいです。
2点目にファイルとパスワードが同じ通信経路で送信されるため、その経路を攻撃された場合、ファイル、パスワードの両方が盗まれてしまいます。つまり、セキュリティの観点で全く意味をなしていないのです。
3点目にマルウェアの検知ができないという点です。添付ファイルにマルウェアが仕込まれていた場合、通常であればセキュリティソフト等で検知することができますが、パスワードがかけられたファイルは検知することができません。なので、かえってセキュリティリスクを高めることになってしまいます。
業務効率の面
また、業務効率の面でも問題があります。
送信者は以下のような手順を踏んでファイルを送信する必要があります。
- ファイルをZIPファイルに変換
- パスワードを発行
- ファイルを送信
- パスワードを送信
ファイルだけを送信するのであれば、1つの手順で完了するところ余計な手順が3つも増えてしまいます。体感として1分程度は余計に時間がかかっているように感じます。些末な差のように思えますが、1日2ファイル送信するとすると1年間(200労働日)で400分(=1分×2ファイル×200日)もこの作業に時間を費やしていることになります。
また、受信者側でもファイルを確認するため以下の手順が必要となります。
- ファイルとパスワードを受信する
- ファイルを保存する
- パスワードで開封する
ファイルを急いで確認したいときでもこのような手順を踏む必要があり、非常にわずらわしいです。また、スマートフォンなどでファイルを閲覧する場合には、余計に手間がかかってしまいます。
徐々に進む脱PPAP
脱PPAPが動きが加速している背景として、平井 卓也IT政策担当大臣(当時)がPPAPを内閣府、内閣官房で廃止することを表明したことがあります(平井内閣府特命担当大臣記者会見要旨 令和2年11月24日)。
上記を受けて大手企業が脱PPAPに向けた動きを示しております。
| 企業名 | 主な対応 |
|---|---|
| NEC | 利用していない |
| 日本IBM | 利用していない |
| 日本ユニシス | 2019年にコンテンツ・ファイル共有/コラボレーションツールのBoxを導入し、脱PPAPを実現 |
| 日立製作所 | 2021年12月13日以降廃止を表明(https://www.hitachi.co.jp/information/info/20211008.html) |
| NTTデータ | 2021年7月に社内規定を改定し、PPAPの使用を禁止 |
| SCSK | PPAPは原則禁止である旨を社内に展開 |
| TIS | 原則PPAPの代替手段を利用するように定義することを検討 |
| 伊藤忠テクノソリューションズ | 2021年度中にPPAPによるメール送信の大半はなくなる予定 |
| 野村総合研究所 | ファイル転送サービスの利用を定めているが、相手先企業の事情によりその限りではない |
| 富士通 | 2020年度から継続して検討中 |
| ソフトバンク | 2022年2月15日午後3時以降、ソフトバンク従業員が業務で使用するメールアカウントにおけるパスワード付き圧縮ファイルの利用を廃止(https://www.softbank.jp/corp/news/info/2022/20220215_01/) |
| インターネットイニシアティブ | 2022年1月26日以降、パスワード付きzipファイルをフィルタにより削除し、メール本文のみ受信する(https://www.iij.ad.jp/ppap/) |
| セキュアヴェイル | 2021年12月31日をもって、パスワード付きZIPファイルのメール送信を廃止(https://www.secuavail.com/event/2021/1206/no-ppap.html) |
一方で、全体で見てみると脱PPAPはあまり進んでいないことが分かります。以下では、JIPDECとITRが実施した『企業IT利活用動向調査2022』(2022年1月)を引用します。
まず、送信側でPPAPを利用していない、または、禁止している企業は17.9%に留まります。
また、受信側でPPAP受信を禁止している企業は14.4%に留まります。
今後、利用を禁止予定とする企業も多いですが、平井 卓也氏の発言から1年以上経つにもかかわらず、対応できていない企業が多いようです。
なぜ今頃になって脱PPAPが叫ばれるようになったのか
そもそも、なぜ近年になって脱PPAPが叫ばれるようになったのでしょうか。PPAPが無駄であるということはもっと早く気づいても良かったように思いますが、なぜどの企業も取り組まなかったのでしょうか。これは、決められた規則の意味を考えずにとりあえずやっている思考停止の状態があったように思います。社会的に普及しているルールに疑問を持たずに不合理を受け入れてしまう日本企業の文化が根強い証拠でしょう。ハンコ、紙文化、目的のない朝会なども同様でしょう。影響力のあるデジタル担当大臣が発言したことによりようやく重い腰が上がったように感じます。
PPAPの代替案は
それではPPAP以外ではどのようなファイル送信方法があるのでしょうか。以下3つ紹介したいと思います。
ファイル送信サービス
ファイルを特定のサイトにアップロードし、リンクやパスワードを通じてファイルをダウンロードすることができる仕組みです。効率的にファイル共有が可能であると同時にセキュリティ面でも安心であるというメリットがあります。また、メールでは送信できないような大容量のファイルを送信できるという点も魅力的です。
主なサービスは以下。
チャットサービス
チャットサービスのファイル送信機能を使って送信することもできます。SlackやTeamsを利用している人は多いと思いますが、メールと比べて気軽にファイルを送信することができます。一方で、送信者と受信者が同じチャットサービスを利用している必要があるため、誰にでも送れるわけではありません。また、メールに比べて手軽に送れてしまうため、誤送信のリスクが高くなる可能性もあります。
主なサービスは以下。
オンラインストレージ
オンライン上のフォルダにファイル・データを保管する仕組みです。大容量ファイルを複数、長期間保管し、共有することができます。また、オンライン上に保管されるため、使っている端末が壊れても別の端末からアクセスすることができます。オンラインストレージを提供する企業は、非常に厳重なセキュリティ対策を行っているため、自社で行うセキュリティ対策よりも圧倒的に信頼することができます。
まとめ
PPAPがメリットがなく、デメリットしかないのになぜ続いているのか。根本的な原因は技術的な問題というよりも、企業の文化的な部分にあると思います。日本がDXが遅れている原因は、このような思考停止が根強いからではないでしょうか。PPAPはその象徴的な悪習であると思います。PPAPに限らず、普段疑問を感じずに行っている習慣の目的や意義を改めて考えることが重要だと感じます。
コメント