セキュリティの
学び場

今回の解説ニュース

メールの添付ファイルにパスワード付きZIPを利用する、いわゆるPPAPの状況について発表されています。今もなおPPAPが利用されている理由や、今後PPAPが利用されなくなるまでに必要な考え方について説明します。

今回の調査は、全国の従業員数300名以上の企業に勤務する情報システム部所属社員1,000名を対象に実施しています。調査結果によると、企業が採用しているファイル送信方法として、PPAPから他のファイル送信方法への転換は約7割と過渡期にあることが判明したということです。

また、PPAPはこれまで規模が大きい企業ほど普及してきた背景もあるため利用率が高く、脱PPAPが遅れの要因になっているとしています。さらに、PPAPに代わる次の対策の導入や検討をしているか尋ねたところ、およそ2割の企業がPPAPの代替策の導入・検討を行っていないことが判明したということです。

そもそもPPAPはなぜ多くの企業のマナーとして浸透したのか

PPAPが大企業ほど普及している理由として、PPAPが利用し始められた当初に他の選択肢が少なかったことと、日本企業の文化が影響していることが考えられます。

メールの添付ファイルに多く使われてきたPPAPですが、日本の政府や企業で使われ始めたのは2011年ごろと言われています。PPAPは、第三者から閲覧されないために多くの人が利用できる手段として普及したわけですが、現在、代替案としてよく挙げられるオンラインストレージやチャットシステムなどのビジネス利用は、当時はあまり一般的ではありませんでした。

メールのセキュリティとしても、当時はSMIMEやPGPなどが存在していましたが、多くの人が利用できるほど普及はしていませんでした。よって、消去法でPPAPが利用されていたことが推測されます。

そして、日本の組織が変化に弱いことは、このパンデミックで我々も痛感したところです。一度はルールとして決めたPPAPをやめるリスク、移行するリスクなどを理由に、特に大企業においてはリスクが顕在化した際の責任を誰も負いたくないという、いわゆる「事なかれ主義」の現状が垣間見られます。これらはすべて、日本企業の文化が影響していると言うことができるのではないでしょうか。

併用もあわせると多くの企業が未だPPAPを利用、脱PPAPには何が必要か？

脱PPAPを実現するためには、セキュリティ業界にも失敗を恐れず挑戦ができる環境づくりが必要であると考えます。

例えば、Aさんが仕事をしていて、失敗するたびにいつも上司に怒られていたとします。ある日、Aさんが仕事で改善した方がいいと思うことがあったとして、果たしてそれに挑戦したいと思えるでしょうか？改善が成功すれば、Aさん自身も楽になれるし、大切な仲間も幸せにできるかもしれません。

ただし、そこに一定の失敗する可能性が存在している場合、現状維持さえしていれば、プラスにならなくてもマイナスにはならないということが考えられ、少なくとも上司に怒られることはありません。結果として、Aさんは改善したほうがいいと分かっていながら、失敗を恐れて挑戦することを諦めてしまうかもしれません。

PPAPも同様で、失敗を恐れず挑戦ができる環境づくりが必要だと考えます。先ほど説明した日本企業の文化を前提に考えた場合、社会全体として脱PPAPを推進していくことが必要とされます。

2020年11月24日に、当時のデジタル改革担当大臣は内閣府の全職員に対し、外部へのファイル送信時にPPAPを利用しないことを発表しています。さらに、大手企業でも脱PPAPを掲げる企業が増えており、パスワード付きZIPファイルは一切受け取らないという方針を打ち出す企業も少なくありません。

もちろん、我々もセキュリティベンダーとして脱PPAPに率先して取り組んでおり、顧客との案件のやり取りにおいてもPPAPを利用しないよう、強く呼びかけています。その結果、ネガティブな評価を受けることもゼロではありませんが、社会全体でインシデントを減らしていくためにも、強い意志を持って取り組むべき作業であると認識しています。

今回は、今もなおPPAPが利用されている理由や、今後PPAPが利用されなくなるまでに必要な考え方についてお届けしました。