それでも「PPAP」を使い続ける国内企業はどのくらい？ 有害と知りつつ使う企業も、そのワケは：Innovative Tech（1/2 ページ）

[山下裕毅，ITmedia]

Innovative Tech：

このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。Twitter: ＠shiropen2

　東京大学空間情報科学研究センター、大阪公立大学大学院情報学研究科、東京大学大学院情報理工学系研究科ソーシャルICT研究センター、株式会社国際電気通信基礎技術研究所に所属する研究者らは「日本国内におけるメールセキュリティに関する実態把握」の研究報告を発表した。

　パスワード付き圧縮ファイルを添付したメールとそのパスワードを書いたメールを別々に送るセキュリティ対策手法（通称：PPAP）において、脆弱性が高いにもかかわらずまだ使い続けている有無や理由、脆弱性の認識はあるかなどの質問を組織344社に行い、分析した研究報告である。

　取引先や顧客など社外の相手とファイルの受け渡しを行う際、情報漏えい対策としてPPAPが国内の企業や公共団体を中心に広く利用されている。PPAPは、「P：Passwordつきzip暗号化ファイルを送ります」「P：Passwordを送ります」「A：Aん号化（暗号化）」「P：Protocol」の略である。

　ファイルを間違えて違う相手に送信したり、ファイルを何らかの方法で奪われたりしても、別メールで送るパスワードがないと開けないという原理で漏えいを防ぐという理屈である。しかし、パスワードが書かれたメールもファイルを送る方法や経路が同じなため、セキュリティ性が低いというのが昨今の考えである。

　その上、ファイルが暗号化されているため、近年ではマルウェア「Emotet」の拡散に使われるなど、情報漏えい防止に使用されているPPAPが、反対にマルウェアを拡散している事態に陥っている。

　そのため、デジタル改革担当相は2020年11月の定例会見で中央省庁の職員が文書などのデータをメールで送信する際に使うPPAPを廃止する方針であると発表、次いで内閣府と内閣官房も廃止を発表した。これを皮切りに、さまざまな官公庁や企業などがPPAP廃止を発表した。

　このように廃止する企業が出てきたが、セキュリティ性が低く（無効性）マルウェア拡散リスク（有害性）を抱えているにもかかわらず、まだまだ使われているのが現状である。

　この研究ではPPAPがまだ採用されているのはどの程度か、またそれはなぜ使用され続けているのか、なぜ廃止に至らないのかなどを明らかにすることを目的に質問紙調査およびメールセキュリティ解析調査を実施した。

　なお、この研究ではPPAPそのものを批判したいわけではなく、無意味なセキュリティ対策の慣行が広まってしまう要因や対応策を検証することで、今後の組織におけるセキュリティ対策への示唆を得ることを目指している。

　調査対象は、国内で従業員数が1000人以上の企業および公共団体344社である。質問紙調査票を送付し、回収期間は22年7月22日までとして郵送もしくはWebで回答を受け付けた。

回答してくれた344社の内訳表