脱PPAPとは?代替案の選び方から具体的な進め方まで徹底解説
脱PPAPとは、PPAPを廃止して別の業務フローに変更する取り組みのことです。
かつては多くの企業でPPAPが採用されていましたが、セキュリティ面での脆弱性が指摘され、現在は見直しが進んでいます。
2020年に内閣府・内閣官房が廃止を表明したことで「脱PPAP」という言葉が広く知られるようになりました。
この記事では、脱PPAPの基本的な考え方や政府・省庁の動向、導入メリットと課題、具体的な移行手順について解説します。自社のセキュリティ対策を強化したい方はぜひ参考にしてください。
目次
[ 開く ]
[ 閉じる ]
- 脱PPAPとは
- PPAPの問題点
- Emotet(エモテット)との関連性
- 政府・省庁における脱PPAPの動向
- 内閣府・内閣官房の脱PPAP表明
- 文部科学省の対応
- 政府方針が民間企業に与えた影響
- 脱PPAPを表明した大手企業
- 日立製作所
- NTTデータ
- SCSK
- 伊藤忠テクノソリューションズ(CTC)
- 脱PPAPに取り組むメリット
- セキュリティ環境の強化
- 業務の効率化
- 取引先へのセキュリティ向上
- 脱PPAPに取り組む際の課題・注意点
- 社内の運用ルール変更に時間がかかる
- 取引先との調整が必要になる
- 代替手段の導入コストが発生する
- 脱PPAPの間違った代替案
- 脱PPAPの正しい代替案
- 別の通信経路でファイルとパスワードを送信する
- クラウドストレージを利用する
- ファイル転送サービスを利用する
- 脱PPAPを進めるための具体的な手順
- 手順1.現状のファイル共有方法を棚卸しする
- 手順2.自社に適した代替手段を選定する
- 手順3.社内ルールの策定と周知を行う
- 手順4.取引先への通知と移行期間を設ける
- 脱PPAP後の運用で押さえておきたいポイント
- 定期的にセキュリティ教育を実施する
- 新しい運用ルールの浸透状況を確認する
- 取引先からの問い合わせ対応フローを整備する
- 脱PPAPと同時に安全性を高めたいならGMOサイバーセキュリティ byイエラエ
- 脱PPAPに関するよくある質問
- 中小企業でも脱PPAPに取り組むべきか
- 脱PPAPの代替手段にかかるコストはどのくらいか
- 取引先がPPAPを続けている場合はどう対応すべきか
- まとめ
脱PPAPとは
脱PPAPとは、メール送受信におけるセキュリティ対策のPPAPを廃止し、別の業務フローに変更する取り組みのことです。PPAPは、「メールでパスワード付きのZIPファイルを送り、その後別のメールでファイルを開くためのパスワードを送る」という一連のアクションを指します。
これまで多くの企業が採用してきたセキュリティ対策の1つですが、政府が2020年にPPAP廃止の方針を発表して以来、企業の間では脱PPAPの動きが広がっています。
PPAPの概要について知りたい方は以下の記事をご覧ください。
【関連記事】PPAPとは?問題視される理由と廃止の動き、効果的な対策方法を徹底解説
PPAPの問題点
PPAPには、現代の業務環境に合わない多くの問題点が存在します。具体的には以下のような問題点が挙げられます。
▼PPAPの問題点
- メールの内容が漏洩する可能性がある
- ZIPの暗号強度が脆弱である
- ウイルスチェックが難しい
- 送信側・受信側の業務負担が大きい
これら複数の問題点があることからも、PPAPは現代のデジタル化されたビジネス環境には適していないといえます。情報漏洩やマルウェア感染などのトラブルを起こさないためにも、早急に脱PPAPを目指すことが推奨されます。
PPAPの問題点については以下の記事で解説していますので、気になる方はぜひご覧ください。
Emotet(エモテット)との関連性
Emotetは、主にメールの添付ファイルを介して感染を拡大させるマルウェアの一種です。
感染すると社内ネットワークへの侵入や情報窃取のリスクが高まり、取引先にも被害が波及する恐れがあります。企業の業務停止や信用失墜に繋がった事例も少なくありません。
PPAPで送られたZIPファイルは暗号化されているため、セキュリティソフトによる検知が難しいという特性を持っています。
攻撃者はこの盲点を突き、悪意あるファイルをZIP形式で送りつける手口を多用してきました。結果として、PPAPがかえってマルウェア感染のリスクを高める要因になっていると指摘されています。
なお、Emotetの詳細については以下の記事で解説しています。
政府・省庁における脱PPAPの動向
政府機関がPPAPの廃止に踏み切ったことで、国内のセキュリティ意識は大きく変化しました。ここでは、政府・省庁における脱PPAPの動向を解説します。
内閣府・内閣官房の脱PPAP表明
2020年11月、平井デジタル改革担当大臣(当時)が記者会見で内閣府・内閣官房におけるPPAP廃止を発表しました。
同じ経路でパスワードを送る方式はセキュリティ上の観点から不適切であり、受け取る側の利便性も損なうと説明されています。
会見では、他の省庁にも廃止を促していく方針が示され、政府全体での取り組みへと発展していきました。この発表は大きな反響を呼び、「脱PPAP」という言葉がビジネスシーンで広く認知されるきっかけとなりました。
文部科学省の対応
文部科学省は2022年1月から、全職員を対象にPPAPを廃止する方針を打ち出しました。代わりに導入されたのがクラウドストレージサービス「Box」を活用したファイル共有の仕組みです。
メール送信時に添付ファイルが自動でクラウドへ保存され、受信者はダウンロード用リンクからアクセスする形式に移行しています。
この方式であれば、ファイルの中身をセキュリティソフトが検査しやすくなります。
Emotetなどのマルウェアがセキュリティチェックをすり抜けるリスクを軽減する狙いがあり、省庁レベルでの具体的な対策事例として注目を集めました。
政府方針が民間企業に与えた影響
政府の脱PPAP表明を受けて、大手企業を中心に同様の取り組みが加速しています。
日立製作所やNTTデータといった名だたる企業がPPAP廃止を公表し、業界全体にセキュリティ意識の変革をもたらしました。
取引先からの要請でPPAP以外の方法を求められるケースも増えており、中小企業にも脱PPAPの波が広がっています。対応が遅れると商談や契約に支障が出る可能性もあり、早めの準備が欠かせません。
サプライチェーン全体の安全性を高める上で、企業規模を問わず対応が求められる時代に入ったといえるでしょう。
脱PPAPを表明した大手企業
脱PPAPは政府をはじめとして、多くの大手企業が廃止を表明しています。その中でも代表的な大手企業を4つ紹介します。
- 日立製作所
- NTTデータ
- SCSK
- 伊藤忠テクノソリューションズ(CTC)
表明内容や時期について詳しく解説します。
日立製作所
日立製作所は2021年10月8日、「2021年12月13日以降のすべてのメール送受信において、パスワード付きZIPファイルの利用を廃止させていただくことを、お知らせいたします」と、脱PPAPについて公式サイトで表明しました。
PPAPの代替手段として、グループ外の関係者とやり取りする場合は、適宜担当者間での相談、またはクラウドのコラボレーションツールを利用するとしています。
さらに、パスワード付きZIPファイルが添付されたメールは日立グループで送受信しない設定とする、という対策も実施しました。
NTTデータ
NTTデータは2021年7月に社内規定を改定し、PPAPの使用を全面的に禁止しました。社内規定で使用を禁止すると同時に、社内啓発も行っています。
PPAPの代替手段には、独自のファイル共有サービスと、利用できるクラウドストレージサービスなどの拡大を採用しています。
SCSK
住友商事グループのシステムインテグレーターであるSCSKは、PPAPを原則禁止とする旨を社内に展開しました。
代替手段としては、取り扱う情報の重要度レベルを4段階で定義し、レベルごとに適したデータ送付方法を定義するガイドラインを作成しています。また、レベルが高い場合は以下のような方法で情報を送信するといったルールも定めました。
▼レベルが高い情報送付時の対処法
- 多要素認証の利用
- アクセスログの取得
- 保存が可能なストレージサービスの利用
SCSKは2022年3月11日に、脱PPAPについての記事「脱PPAP! 代替策に何を選ぶべきか?純国産オンラインストレージの安心と使いやすさに注目!」を公開しています。このことからも、SCSKは脱PPAPに積極的であることがわかります。
伊藤忠テクノソリューションズ(CTC)
伊藤忠テクノソリューションズ(CTC)は、脱PPAPに向けて大容量ファイル転送システム「eTransporter」を採用しています。2022年2月に「eTransporter」の導入を正式に決定し、同年5月末からCTCグループ全体で本番運用を開始しました。
このシステムを導入した主な理由として、オンプレミスでの導入が可能なこと、ユーザーの負担が少ないこと、コストパフォーマンスが優れていること、この3つを挙げています。
脱PPAPに取り組むメリット
脱PPAPに取り組むことで、ビジネスのさまざまな面でメリットが得られます。ここでは、脱PPAPに取り組む具体的なメリットを3つ解説します。
- セキュリティ環境の強化
- 業務の効率化
- 取引先へのセキュリティ向上
各メリットを順番に見ていきましょう。
セキュリティ環境の強化
PPAPを廃止することで、マルウェアやウイルスに感染するリスクが低減するなど、セキュリティ環境の強化に繋がります。
PPAPをこのまま続けると、危険なウイルスやマルウェアに感染するリスクが常に伴います。その点、早急に脱PPAPを図り、別のセキュリティ対策を行うことで、多くのセキュリティリスクを軽減することが可能です。
企業が行うべきセキュリティ対策の詳細については以下の記事で解説しています。
業務の効率化
PPAPをやめることにより、メールでの情報交換の手間が大きく削減されます。業務の効率化に繋がり、結果として企業全体の生産性向上に寄与します。
従来の方法だと、送信側はまず情報をZIPファイルにまとめ、それをパスワードで暗号化してメールを送信します。その後、別のメールでパスワードを送信するという作業が必要です。
脱PPAPを進めることで、これらメール作成・確認の手間を削減でき、業務効率の向上に繋がります。
取引先へのセキュリティ向上
3つ目のメリットは、取引先へのセキュリティ向上が図れる点です。前述したように、PPAPを使い続ける限り、メールの送受信において常にセキュリティリスクが伴います。
これは取引先も同じで、自社がPPAPを採用し続けている間は、取引先にもそのリスクを抱えてもらう必要があります。場合によってはPPAPが原因で、取引先に大きな損害をもたらしてしまうこともあるでしょう。
それらのリスクを防ぎ、取引先との関係性を高めるためにも、脱PPAPを積極的に進めることが求められます。
脱PPAPに取り組む際の課題・注意点
脱PPAPにはメリットがある一方、実際に進めようとするといくつかの壁に直面します。ここでは、脱PPAPに取り組む際の課題・注意点を解説します。
社内の運用ルール変更に時間がかかる
長年PPAPを使ってきた組織ほど、新しい運用体制への切り替えには時間を要します。ファイル共有のフローを見直すだけでなく、従業員への周知徹底や操作方法の教育も欠かせません。
特にITリテラシーに差がある職場ではサポート体制を手厚くする配慮が必要となるほか、一斉に移行しようとすると現場が混乱するリスクもあります。
まずは特定の部署で試験運用を行い、課題を洗い出しながら全社展開を目指す方法が現実的です。
取引先との調整が必要になる
自社だけが脱PPAPを進めても、取引先が従来の方式を続けていると完全な移行は難しくなります。
相手企業のセキュリティポリシーやシステム環境によっては、すぐに対応してもらえない場合もあるでしょう。
長年の取引関係がある相手ほど、急な変更を伝えにくいと感じる担当者も少なくありません。移行期間中はPPAPと新方式を併用せざるを得ないケースも想定されます。
取引先ごとの状況を把握し、丁寧にコミュニケーションを取りながら脱PPAPの調整を進めることが重要です。
代替手段の導入コストが発生する
脱PPAPに取り組む場合、代替手段としてクラウドストレージやファイル転送サービスへの移行が必要となりますが、新たに初期費用や月額利用料などのコストが発生します。
無料プランを活用する選択肢もありますが、機能制限や容量の上限があるため業務規模によっては物足りなく感じる場合があります。
また、新しいツールの導入に伴い、社内研修やマニュアル整備にも工数がかかるでしょう。
ただし、セキュリティインシデントが起きた際の損害と比較すれば、代替手段の導入コストは決して高くありません。長期的な視点でメリットを評価し、投資対効果を見極めることが大切です。
脱PPAPの間違った代替案
脱PPAPを図ることはセキュリティリスクを防止する上で非常に重要ですが、PPAPを廃止した後の代替手段にも注力する必要があります。誤った方法で代替すると、セキュリティ上のリスクを招いてしまう恐れがあるためです。
特に以下のような代替手段を実行すると、セキュリティリスクが高まる可能性があります。これから脱PPAPを図り、代替手段を検討する方は必ず確認しておきましょう。
▼脱PPAPの間違った代替案
- 不特定多数に公開されるクラウドストレージの利用
- セキュリティ更新が滞っている古いプラットフォームへの移行
- 不明確な第三者サービスを用いたデータの共有
- ダウンロードリンクを作成したメールの送受信
- ファイル暗号化が行われないサービスの利用
こういった誤った代替手段を取ってしまうと、結果的に企業のセキュリティが低下し、情報漏洩やサイバー攻撃のリスクを高めてしまいます。また、PPAPのときよりも業務に手間がかかり、生産性が低下する可能性もあるため注意が必要です。
脱PPAPの正しい代替案
脱PPAPの正しい代替案として、代表的なものを3つ紹介します。
- 別の通信経路でファイルとパスワードを送信する
- クラウドストレージを利用する
- ファイル転送サービスを利用する
それぞれの代替案を詳しく見ていきましょう。
別の通信経路でファイルとパスワードを送信する
すぐに脱PPAPを行いたいなら、別の通信経路でファイルやパスワードを送信する代替案の採用を検討しましょう。ファイルとパスワードの送信に別の経路を用いることで、セキュリティリスクの低減に繋がります。
例えば、ZIPファイルはメールで送信し、パスワードはチャットや電話など別の経路で伝えるなどの手段が挙げられます。複雑な作業を挟まないため、「新しいシステムを導入したくない」という場合でもすぐに代替手段を採用することが可能です。
クラウドストレージを利用する
クラウドストレージを活用すれば、データの安全な共有や保存が実現します。時間と場所を選ばず自由にファイルを共有できるほか、わざわざパスワードを設定する必要もありません。
このクラウドストレージを用いた方法は、文部科学省の代替案としても導入されています。
特に大手のクラウドストレージサービスを導入すれば、データの暗号化や二段階認証などを利用でき、企業のセキュリティ対策としてより一層機能するでしょう。
ファイル転送サービスを利用する
ファイル転送サービスの利用も選択肢に入ります。ファイル転送サービスとは、インターネット上でファイルを送受信するサービスのことです。活用する主な流れは以下の通りです。
▼ファイル転送サービスを活用する主な流れ
- 送信側がファイル転送サービスを通じてファイルをアップロードする
- ダウンロード用のURLとパスワードを取得する
- 受信側にURLとパスワードを伝える
- 受信側がURLにアクセスしてダウンロードする
具体的な導入方法としては、「ギガファイル便」や「クリプト便」、「SECURE DELIVER」などの利用が挙げられます。セキュリティ対策を強化したいなら、有料の大手サービスの利用を検討しましょう。
脱PPAPを進めるための具体的な手順
場当たり的な対応ではなく、計画的に進めることで脱PPAPはスムーズに実現します。以下、脱PPAPを進めるための具体的な手順を解説します。
▼脱PPAPを進めるための手順
- 現状のファイル共有方法を棚卸しする
- 自社に適した代替手段を選定する
- 社内ルールの策定と周知を行う
- 取引先への通知と移行期間を設ける
手順1.現状のファイル共有方法を棚卸しする
最初に取り組むべきは、社内の実態把握です。どの部署がどのような方法でファイルをやり取りしているのか、PPAPの利用頻度はどの程度なのかを整理しましょう。
取引先ごとの運用状況も合わせて可視化しておくと、移行計画を立てやすくなります。
棚卸しの過程で、想定外の運用やシャドーITが見つかる場合もあるため、丁寧に調査を進めてください。
手順2.自社に適した代替手段を選定する
棚卸しの結果をもとに、自社の業務フローやセキュリティ要件に合った代替手段を検討します。
クラウドストレージは共同編集にも対応しており利便性が高く、ファイル転送サービスは大容量データのやり取りに向いています。
サービスによってはアクセス権限の細かい設定やログ管理機能を備えたものもあり、セキュリティ面での比較も欠かせません。
既存システムとの連携や従業員の使いやすさも選定基準に加え、複数のサービスを比較検討することが大切です。
手順3.社内ルールの策定と周知を行う
代替手段を決めたら、新しいファイル共有ルールを文書化して全従業員に周知します。操作マニュアルの作成や説明会の開催を通じて、現場の疑問や不安を解消しましょう。
ルールが曖昧なままだと運用にばらつきが生じ、セキュリティリスクが残ってしまうため、誰もが迷わず実践できる明確な指針を示すことが肝心です。
周知後も定期的にリマインドを行い、ルールの定着を図りましょう。
手順4.取引先への通知と移行期間を設ける
社内体制が整ったら、取引先に対して脱PPAPへの移行方針と新しい共有方法を事前に伝えます。
突然の変更は相手の業務に支障をきたす恐れがあるため、十分な移行期間を設けることが望ましいでしょう。
通知の際には、なぜPPAPを廃止するのか背景を簡潔に説明すると理解を得やすくなります。丁寧な説明と余裕あるスケジュールを提示すれば、取引先との信頼関係を損なわずに切り替えを進められます。
脱PPAP後の運用で押さえておきたいポイント
新しい仕組みを導入しただけで終わりではなく、継続的な運用改善が欠かせません。ここでは、脱PPAP後の運用で押さえておきたいポイントを解説します。
定期的にセキュリティ教育を実施する
運用ルールが形骸化しないよう、定期的なセキュリティ教育を行いましょう。最新のサイバー攻撃手法や被害事例を共有することで、従業員の危機意識を維持しやすくなります。
継続した啓発活動がセキュリティ文化の定着に繋がります。教育の成果を測定する仕組みを取り入れると、改善点も見えやすくなるでしょう。
新しい運用ルールの浸透状況を確認する
ルールを策定しても現場で守られていなければ意味がないため、定期的に遵守状況をチェックし、問題があれば速やかに改善策を講じましょう。
アンケートやヒアリングを通じて、運用上の困りごとを吸い上げる機会を設けることも有効です。現場からのフィードバックを収集し、運用ルールをブラッシュアップする姿勢も大切です。
取引先からの問い合わせ対応フローを整備する
新しいファイル共有方法に慣れていない取引先から、操作方法や接続トラブルに関する問い合わせが届く場合があります。
あらかじめ対応フローを整備しておけば、担当者の負担を軽減しつつ迅速に回答できるでしょう。
よくある質問と回答をまとめたFAQ資料や、画面キャプチャ付きの操作マニュアルを用意しておくと、同じ質問への対応工数を削減できます。
脱PPAPと同時に安全性を高めたいならGMOサイバーセキュリティ byイエラエ
画像引用元:GMOサイバーセキュリティ byイエラエ
脱PPAPを行い、代替案を導入するだけでは安全なセキュリティ対策とはいえません。PPAPの廃止とともにセキュリティ対策を強化したいなら、「GMOサイバーセキュリティ byイエラエ」の利用をご検討ください。
本サービスでは、サイバー攻撃の対策からセキュリティ課題の解決まで総合的なサポートを提供しています。
また、さまざまなセキュリティ問題に悩む担当者の方に対して、セキュリティコンサルタントが運用システムの詳細まで踏み込んでご支援いたします。PPAPの代替案をご検討される際はぜひご相談ください。
脱PPAPに関するよくある質問
脱PPAPを検討する際、多くの企業が抱える疑問点をまとめました。ここでは、脱PPAPに関するよくある疑問を3つ紹介します。
中小企業でも脱PPAPに取り組むべきか
企業規模に関係なくサイバー攻撃のリスクは存在します。むしろセキュリティ体制が手薄な中小企業は標的にされやすい傾向があるため、早めに対策を講じるべきです。
攻撃者は大企業への足がかりとして、取引先である中小企業を狙うケースも報告されています。取引先から脱PPAPを求められるケースも増えており、対応が遅れるとビジネス機会を逃す恐れもあります。
コストを抑えた代替手段も選べるため、まずは情報収集から始めてみてください。小さな一歩が将来の大きなリスク回避に繋がります。
脱PPAPの代替手段にかかるコストはどのくらいか
脱PPAPの代替手段にかかるコストは、選択する方法や会社の規模によって大きく異なります。
クラウドストレージの場合、月額数百円から数千円程度のプランが一般的です。無料プランでも基本的な機能は利用できるため、小規模なチームであればコストをかけずに導入を試せます。
一方、ファイル転送サービスは従量課金や定額制などさまざまな料金体系があり、自社の利用頻度に応じて選択しやすい環境が整っています。
複数のサービスを比較し、費用対効果を見極めた上で判断すると良いでしょう。
取引先がPPAPを続けている場合はどう対応すべきか
まずは脱PPAPの背景やセキュリティ上のメリットを丁寧に説明し、移行を促すことが望ましい対応です。具体的な被害事例やリスクを共有すると、相手の理解を得やすくなります。
相手企業の事情ですぐに切り替えが難しい場合もあるため、過渡期のルールを定めて併用運用を行う方法も検討しましょう。
焦らず段階的に進めることで、双方にとって無理のない形で移行を完了させられます。
まとめ
この記事では、脱PPAPの概要や政府・省庁の動向、導入時の課題と具体的な移行手順について解説しました。
PPAPはセキュリティ対策として不十分であり、Emotetなどのマルウェア感染リスクを高める要因にもなり得ます。政府や大手企業が廃止を表明したことで、企業規模を問わず対応が求められる状況です。
クラウドストレージやファイル転送サービスなど自社に合った代替手段を選び、計画的に移行を進めましょう。
脱PPAPと併せて包括的なセキュリティ強化を検討されている方は、「GMOサイバーセキュリティ byイエラエ」の脆弱性診断やコンサルティングサービスもぜひご活用ください。
文責:GMOインターネットグループ株式会社
