PPAPの代替案

廃止進むPPAPの代替案とは　データ共有のセキュリティ対策を紹介 | ツギノジダイ

（今回も記事の要旨になります）
IT系の記事でPPAPというワード出すとつかみとして大体、5年くらい前に流行ったピコ太郎を出すのが鉄板なわけだが。。。

それを置いておくとこのPPAPというのは次の略称である。
・Password付きZIPファイルを送ります
・Passwordを送ります
・Angoka（暗号化）
・Protocol（プロトコル）
PPAP総研の大泰司章氏が問題提起し、命名したとのことである。
このPPAPによる方法は、民間のみならず、官公庁でも採用されている方式で、日本だけのセキュリティ慣行となっている。これが広まった背景としては、プライバシーマーク、およびISO/IEC 27000 シリーズの監査上、ファイルの暗号化に対応するためだとされている。

2020年11月、平井卓也デジタル改革担当大臣（当時）は、政府機関においては内閣府や内閣官房でのPPAPによる送信方式を廃止すると表明した。近年のデジタル化の流れを受けて、大手企業もそれに追随する形となった。

では、なぜ廃止に至るようになったのかPPAPの特徴と代替策をまとめたい。

PPAPの特徴

冒頭の記事によればPPAPには3つの脆弱的な特徴が挙げられている。

①セキュリティが担保できない
Zipファイルを送信後、同じ経路からパスワードを再びメールで送ってしまっては、悪意のある相手から同時に盗み見られるおそれがあるため

※情報セキュリティの7要素
情報セキュリティの7大要素とは、情報セキュリティの3大要素である「機密性（Confidentiality）・完全性（Integrity）・可用性（Availability）」に加えて「真正性（Authenticity）・責任追跡性（Accountability）・否認防止（Non-repudiation）・信頼性（Reliability）」の4つを加えた、情報セキュリティ上の重要な特性のことを言います。
（https://activation-service.jp/iso/column/3595より引用）

②送受信ともに手間がかかる
送受信ともに複数のメールを使ってやり取りする必要があることや、スマートフォンに至っては、専用のアプリをインストールしなければならない

③マルウェア感染助長のおそれ
普段からPPAPで送受信をしているとウィルスチェックの警戒感を下げてしまい、マルウェアに感染してしまう恐れがある

PPAPの代替策

では、これだけセキュリティへの脆弱性が指摘されると、他のICTツールへの移行が急務となりそうだ。どのようなツールが考えられるだろうか。

①オンラインストレージ
代表的なサービスだと、Googleドライブやboxである。
これらのメリットは次の通りである。
・スモールスタートして大容量まで拡張可能
・手軽にデータの可用性を向上できる
・社内外のファイル共有が簡単になる
・在宅勤務・リモートワークの推進を図れる
・セキュリティの面でも安心度が高い
ただし、マルウェア「Emotet」の新しい手口として、Googleドライブへ誘導してPDFを開いてウィルスに感染させる事例もあるため注意が必要である。

②ファイル転送サービス
firestorageが代表的である。
このサービスを利用した場合のメリットは、
・多くの場合は登録が不要で手軽
・無料で使えるサービスが多い
ことである。
もちろん有償のサービスも存在するが、これは日々の業務の範囲でどのようなツールがふさわしいか考えるべきだろう。

おわりに

PPAPの懸念の一つに挙げられていたことであるが、暗号化して送信しているという安心感があるため必要なセキュリティ対策を講じていないということである。某企業の記事も同様のインタビューが載っていたが、メールでやり取りする以上使いやすいとも答えていた。
きっとこれがPPAPを使うことでセキュリティ対策になっていると考えている企業の真意なのだろう。

繰り返すがPPAPは脆弱で、セキュリティ対策にもなっていない。また、社会的に在宅勤務が浸透しつつある今、この方式を採用している企業は在宅勤務への障壁となっていることに気付いているだろうか。

安心感で使い続けるのは、これまでセキュリティ事故やウィルス感染が起きていなかっただけで、根拠が薄弱である。自社のセキュリティを少しでも高めたいのであれば、PPAPは今すぐにでも廃止するべきであろう。