Intelligence Report インテリジェンスレポート
PPAP廃止についての意識・導入実態調査
サマリ
・PPAP対策、組織において既に導入したのは34.3%、現在導入予定または導入中の層は12.2%。併せて46.5%が、直近でPPAP対策を導入済になる見込み。
・PPAP対策として最多で導入済・導入予定となったのは、『添付ファイルダウンロードサービス(メールに添付したファイルを、送信時に自動でメールから分離させてダウンロードURLに置き換え、受信者はメール記載のURLからファイルをダウンロードし、受け取るサービス)』。
・『添付ファイルダウンロードサービス』の導入メリットを尋ねると、サービスの性質に由来してか、従来のPPAPと手法を変えずに済む使い勝手の良さと、他社とのやり取りを意識したスムーズさ・ブランディング的要素に支持が集まった。
・一方、導入予定がないと答えた層は併せて53.5%。未導入理由として、PPAPのセキュリティ問題を重視していないと見える選択肢が上位を占めており、2020年11月にデジタル改革担当大臣が指摘したセキュリティ問題を重視していない可能性があると推測。
・しかし、各所で脱PPAPが進み、加えて、添付ファイル付きメールを受信しない・または破棄する組織も増加している点から、今後未導入予定の組織でも、方針転換を余儀なくされる可能性がある。その場合、将来的には全体の約50%の層がPPAP対策導入済の組織になると見え、脱PPAPの動きは緩やかながらも、今後確実に進んでいくと推測できる。
調査実施概要
本調査は、1,001名以上規模の国内企業に勤める情報システム部役職者を対象に、自組織におけるPPAP(パスワード付きZIPファイルを添付したメールを送信後、パスワードを別送するメール手法)への対応状況・意識がどうなっているか、インターネット上でアンケート調査を行ったものです。
2022年に入ってから急速に被害が拡大しているマルウェアEmotetや、昨今のウクライナ情勢、トヨタ自動車子会社のサイバー攻撃事件等を踏まえ、政府は国内に、情報セキュリティの一層の強化を呼び掛けています。
また、2020年11月、セキュリティと利便性の問題から、内閣府・内閣官房でPPAPを廃止すると平井卓也デジタル改革担当大臣が発表して以降、追随するように、大手企業のPPAP廃止が進んでいます。
こうした背景の中、メールセキュリティの要となるPPAP対策が、現在の国内組織においてどの程度進んでいるか、実態を調査いたしました。
・調査期間:2022年2月22日-2月25日
・調査回答者数:172名
・調査対象者:1,001名以上規模の国内組織につとめる、情報システム部従事の役職者
・アンケート方法:インターネット調査
本レポート内で使用した文章・図表等の流用は、個人・商業利用を問わず、下記のとおりご記載ください。
『引用:2022年3月15日株式会社ソースポッド発行「PPAP廃止についての意識・導入実態調査」』
PPAPの認知度および対策の導入実態
PPAPの認知度を測るため行った、『メールセキュリティにおけるPPAPという言葉を知っているか』という問いに、『知っていた』と回答したのは57%留まり。
また、勤務先のPPAP対策導入実態について、『既に導入した』と回答したのは34.3%、『現在導入予定または導入中』と回答したのは12.2%にのぼり、これらを合わせると、直近で46.5%の層がPPAP対策を導入済になる見込みと言える。
さらに、導入予備軍といえる『予定はないが検討の可能性あり』の回答者28.5%については、昨今、『パスワード付きZIPファイルが添付されたメールは受信しない、もしくは添付ファイルを破棄する』と、脱PPAPの一環として表明する組織も増えていることを考えると、取引先を含めた他社にて、今後取り組みが進めば、方針転換を行う可能性もあると見える。それを踏まえると、国内組織のPPAP対策導入はさらに加速すると考えられるだろう。
導入済/検討中のPPAP対策サービスについて
PPAP対策を『既に導入した』と回答した人 に導入済のサービスを尋ねると、最も導入されていたのは『添付ファイルダウンロードサービス(メールに添付したファイルを、送信時に自動でメールから分離させててダウンロードURLに置き換え、受信者はメール記載のURLからファイルをダウンロードし、受け取るサービス)』でが49.2%となり、およそ半数にせまる49.2%結果となった。
また、近日PPAP対策を導入すると見られる『現在導入予定または導入中』の回答者も、同じく『添付ファイルダウンロードサービス』が検討・導入予定として最多の回答となっており、こちらは優に7割以上の層が該当している。
これらを鑑みるに、導入済み・導入予定または導入検討中共に、現状では『添付ファイルダウンロードサービス』が現状で最も市民権を得ていると考えられる。
また、『添付ファイルダウンロードサービス』を導入済の回答者にメリットを尋ねると、会社セキュリティの向上・使い勝手の良さが多く支持されていた。また副次的ではあるが、取引先を意識した項目(取引先とのやり取りがスムーズ/会社のブランド力向上につながる)もメリットに挙がっている。
これはサービスの性質上、送信者は従来のPPAPと手法を変えずにメール上で作業が完結できること、また、メール送信という形態から、他社とのやり取りをより意識する点から、この項目が支持されたと推測される。
PPAP対策の未導入について
先述で挙げた、勤務先のPPAP対策導入実態に関する質問に対し、回答時点で導入予定がないと答えた層、すなわち『導入予定も検討可能性もない』または『導入予定はないが、検討する可能性がある』の回答者は、併せて53.5%にのぼった。
なぜ導入予定がないのか尋ねたところ、上位に挙がったのは、『特に理由はない』『必要性を感じていないから』という、PPAPについてあまり意識していないと思われる選択肢と、『サービス料金が高いから』『人材リソースが足りないから』という、組織のリソースが原因と見られる選択肢が挙がった。
しかし、PPAPのセキュリティ問題を意識していないと見える『特に理由はない』の回答は40%にのぼり、他選択肢と比べてもかなり多い。次点に『必要性を感じていないから』が挙がっている点も見ると、2020年11月にデジタル改革担当大臣が指摘した、PPAPのセキュリティ問題を重視していない可能性が推測される。
考察
データを鑑みるに、直近で46.5%の組織にてPPAP対策の導入が行われると予測される。対策サービスとして最も導入されている『添付ファイルダウンロードサービス』のメリットを見るに、社内外両面からの良さを感じながら運用できていると考えられ、PPAP手法を用いないファイル共有方法が確立されつつあると言える。このことから、脱PPAPの流れは確立しはじめたと推測できる。
一方、PPAPのセキュリティ問題の重要性に着目せず、対策が未導入の組織も少なくない。しかし、中央省庁・大手企業をはじめとした各所で脱PPAPが進み、加えて、添付ファイル付きメールを受信しない・またはファイルを破棄する組織も増加している点を踏まえると、今後脱PPAPに未着手の組織でも、方針転換を余儀なくされる可能性がある。
特に、導入予定がない組織のうち『必要性を感じていないから』と回答した層は、他社でPPAP対策導入が進めば、対外的なやり取り上の必要性から、導入する方へ舵を切る者がいると予想される。もしそうなった場合、すぐにとは言い難いものの、将来的には全体の約50%の層が、PPAP対策導入済となる可能性があると言える。
こうした点から、脱PPAPの動きは緩やかながらも、今後確実に進んでいくと推測できるだろう。