メールの送受信などにおけるセキュリティ対策として、以前から頻繁に用いられてきたPPAP。しかし、いくつかの問題点から、最近では脱PPAPを進める企業が増えつつあります。本記事ではPPAPの問題点と脱PPAPのための対策について解説します。
PPAPとは、「Password(P)付きファイルを送ります」「Password(P)を送ります」「暗号化(A)」「Protocol(P)」の頭文字をとった略語で、暗号化したパスワード付きzipファイルをメールに添付し、その後解凍用パスワードを別メールで送信するセキュリティ対策の方法です。特に機密情報や重要なビジネス文書などを外部と共有する際に、不正な第三者によるアクセスを防ぐのを目的に使用されます。
PPAPの問題点は主に以下の通りです。
PPAPはパスワード付きZIPファイルとパスワードを記載したメールが同じネットワークを通るため、暗号化された1通目のZIPファイルが仮に盗み見された場合、パスワードが書かれた2通目の盗み見も容易になると考えられます。また、誤って2通目を1通目とは違う相手に送って、情報漏洩リスクを高めてしまうようなケースもあり得ます。
ウイルスチェックが効きにくいという問題もあります。一部を除き多くのウイルスチェッカーなどのセキュリティ製品はパスワード付きのZIPファイルの中身を検知できないため、添付ファイルにウイルスが混入していた場合、PC内が汚染されて情報漏えいにつながってしまう可能性があります。
パスワードを紛失したり、誤った情報を入力したりすると、ファイルへのアクセスができなくなるという問題もあります。また、メールの受診者がパスワードを受け取った際、それを入力してファイルを解凍する手間も生じます。大量のファイルによって頻繁に情報共有を行う場合、無視できないレベルにまでその手間が増大する可能性があるため、結果として業務効率を大きく下げてしまうことになるのです。
PPAPはパスワードの管理やその変更、再配布など、IT部門や管理者が行うタスクが増加するという問題もあります。特に大規模な組織や、外部と頻繁に情報を共有する必要がある組織では、この負担は大きくなりがちです。
また、パスワード付きの添付ファイルは、一般的なファイル管理システムやDLP(Data Loss Prevention)ツールとは異なり、中身を確認することが困難です。そのため、どの情報がどこに送信されたのか、誰がそれを閲覧したのかといったデータのトラッキングや監査が難しくなります。
仮に、企業が脱PPAPを進めなかった場合、情報漏洩のリスクに晒されるだけでなく、取引先などからも「セキュリティ対策に配慮していない企業」として認識され、評価が下がる恐れがあります。脱PPAPの必要性は、これから多くの企業にとって大きくなっていくでしょう。
これまで多くの企業がPPAPを用いたファイル共有を行ってきましたが、上記の問題点から、現在PPAPを採用する企業は減少傾向にあります。 また、2020年11月に平井卓也元デジタル改革担当大臣が、内閣府および内閣官房におけるPPAPの廃止方針を表明したことです。文部科学省も2022年1月4日以降は、すべてのメール送受信においてPPAPを廃止しました。こうした動きも影響し、企業間でも脱PPAPの動きが進んでいるのです。
脱PPAPの方法として、たとえば、パスワード付きZIPファイルはチャットで送り、パスワードをメールやFAX、電話で伝える等、異なる通信ネットワークを使うことで、セキュリティ上のリスクを回避する方法が挙げられます。比較的簡単ですが、ZIPファイルの送信にメールを使用する場合はウイルス感染リスクが残る上、送受信の手間を考えるとあまり推奨できません。
ファイルをアップロードし、発行されたダウンロードリンクを共有するサービスを利用する方法もあります。ダウンロード回数の制限やダウンロード期限付きリンクの生成など細かな設定も可能で、比較的に手軽に利用することが出来ます。
ユーザーやグループが管理されたオンラインのストレージ上にファイルをアップし、URLを共有先に送信してダウンロードできるサービスを利用する方法です。PPAPよりも安全で簡単にファイルのやりとりが可能で、大容量かつ複数のファイルを長期間共有できます。また、仮にファイル共有に用いるURLを違う宛先に誤送信してしまった場合にURLの無効化ができるのも特徴です。
一方、デメリットとしては、オフライン環境で利用出来ないことや対策レベルがサービス提供事業者によって左右されるという点が挙げられます。セキュリティ対策がしっかりしているか、カスタマイズがどの程度できるか、といった点をしっかり見極めてから利用する必要があるでしょう。
クラウドストレージはサービスの特性上、一度導入すると継続的に利用料が発生するものが大半です。自社の予算と導入した際のメリットを検討した上で、長期的に利用できるサービスかどうかを判断しましょう。無料トライアル期間がある場合は、期間を利用してサービスを導入した際の効果と予算についてじっくり検証することをお勧めします。
提供事業者やサービスの種類によって、セキュリティレベルは異なります。不正アクセスへの対策がしっかりなされているかをはじめ、セキュリティに関する各種規格をクリアしているか等、確認しておきましょう。
大容量のファイルを複数扱うことになる場合は、容量も大事なポイントです。過去のデータをどれだけ格納できるか、今後どれだけのデータを格納する予定か等、しっかり把握した上で導入するサービスを選びましょう。 他のストレージやメールソフトとの連携機能など、運用面での利便性もポイントになります。他のストレージとの連携機能が豊富だとファイルを探すのが簡単になりますし、メールソフトとの連携機能があると、共有リンクの作成とリンクのお知らせメールの作成が同時に行えるため、作業者の負荷を減らすことが出来ます。
以上、説明してきたように、脱PPAPの対策として、クラウドストレージサービスは非常に有効な手段と言えます。
Shachihata Cloudが提供するファイル管理サービスは、文書や動画、画像等のデータをアップロードして保存や共有が可能です。細かなアクセス制限の設定が可能でセキュリティ面での各種規格もクリアしていますのでPPAP対策のためのデータ共有ツールとしてはもちろん、文書等の社内データの共有ツールやバックアップとしてなどニーズに合わせた利用が可能です。
また、オプションとして提供しているファイルメール便もPPAPの代替手段として有効です。ファイルをShachihataCloudにアップロードすることで、チェック機能により送付前の内容確認を実施することが可能です。さらに最大500MB×10ファイルという大容量のファイルも送信することができます。1カ月1ユーザー当たり税込110円 で利用できます。
詳しい資料はこちら
脱PPAPの対策ツールとしてサービスを選ぶ際は、セキュリティ面、利便性、予算などを総合的に考えて検討することが必要です。管理者とユーザーが安全・安心かつ便利に利用できるサービスを利用して、業務効率の改善につなげてみてください。