メールを送受信する際のセキュリティ対策としてPPAPがあります。PPAPとは、暗号化したパスワード付きZIPファイルを送付した後、別のメールで開封用パスワードを追送する方法であり、「Password付きZIP暗号化ファイルを送る」「Passwordを送る」「Aん号化(暗号化)する」「Protocol(プロトコル=手順)」の頭文字をとってそう呼ばれています。
本記事ではPPAPの問題点と各代替案のメリットとデメリットを提示し、脱PPAPを図るためのポイントについて解説します。
PPAPは機密情報や重要なビジネス文書などを外部と共有する際に、不正な第三者によるアクセスを防ぐのを目的に使用されてきました。しかしいくつかの問題点からPPAPを使用しない企業が増えてきました。
きっかけとなったのは、2020年11月に平井卓也元デジタル改革担当大臣によって表明された、内閣府および内閣官房におけるPPAPの廃止方針です。平井大臣は「セキュリティ対策や受け取り側の利便性の観点から、PPAPは適切ではない」との見解が発表されました。
文部科学省も2022年1月4日以降、すべてのメール送受信においてPPAPを廃止し、オンラインストレージを活用する方針に転換しました。こうした官公庁の動きを受け、企業間でも「脱PPAP」の動きが活発化しているのです。
では、PPAPの問題点はどこにあるのでしょうか。
PPAPでは、暗号化されたZIPファイルとそのパスワードを別々のメールに分けて送付しますが、通信ネットワークは1つであるため、暗号化された1通めのメールが仮に傍受されてしまうと、2通めのメールも盗み見されてしまう恐れがあります。
ZIPファイルに付けられたパスワード自体も、セキュリティ上盤石とは言えません。現在は専用ツールと時間さえあればパスワードの解析が可能とみられており、ZIPファイルの暗号は何度でも入力可能であるため、総当たり方式でパスワードを解読されてしまう懸念もあります。
また、ウイルスチェックが効きにくいという点も問題です。ZIPファイルが暗号化されている場合、市販のセキュリティ製品ではウイルスチェックを行うことが通常はできません。そのため、ウイルスに感染した添付ファイルを受信者が気付かずに開封してしまう恐れがあります。
人為的ミスによるリスクやトラブル発生も挙げられます。たとえば、パスワードが書かれた2通目のメールの送信者が誤送信してしまった場合などは、情報漏洩リスクに晒されることになります。この他、受信者がパスワードを紛失したり誤情報を入力したりして、添付ファイルへのアクセスができなくなるといったケースもあり得ます。
メールの受信者は、パスワードを受け取った際にそれを入力してファイルを解凍する手間が生じます。大量のファイルによって頻繁に情報共有を行う場合、その手間が無視できないレベルにまで増大し、業務効率を大きく下げてしまう可能性があります。
また、運用管理者にはパスワードの管理や変更、再配布などのタスクが発生し、大規模な組織や、外部と頻繁に情報共有を行っている組織では、その負担は大きなものとなります。
上記、PPAPの問題点を解消するために、以下の方法があります。
これまで通り、メールをそのまま使いながら脱PPAPを実現したい場合は、メールセキュリティシステムの活用が考えられます。この場合、送信する前の事前チェック機能や危険なメールを受信した際の警告機能などによるリスク回避が可能になります。ただし、誤送信のリスクはゼロとは言えませんし、大容量ファイルが添付できないといった課題は残ります。
送信したいファイルをアップロードし、発行されたダウンロードリンクを共有するサービスを利用する方法もあります。ダウンロード回数の制限やダウンロード期限付きリンクの生成など細かな設定も可能なので、比較的手軽に利用することが出来ます。ただし、サービスによってはセキュリティに不安が残る点や、ファイル共有以外の業務に活用できない点がデメリットとなります。
クラウドストレージサービスを利用するメリットは、管理されたユーザーやグループ内でオンラインのストレージ上にファイルをアップし、URLを共有してダウンロードできる点です。スマホやタブレット端末などを使って時間と場所を選ばずアクセスできるほか、ファイルの共同編集も可能で、PPAPよりも安全かつ簡単に複数のファイルを長期間共有できるという特徴があります。また、仮にファイル共有に用いるURLを違う宛先に誤送信してしまった場合に、URLの無効化ができるのもメリットです。
一方、デメリットとしてはオフライン環境で利用出来ないことや、サービス提供事業者によってセキュリティレベル、機能、価格などにばらつきがある点が挙げられます。用途によっては機能過多になり、割高になってしまう恐れがあります。
脱PPAPに向けてどの手法を選択するかは、組織規模やメールの使用状況、利便性、予算などによって異なります。事前に自社の課題をしっかり整理して、適切な方法で脱PPAPを図ってください。
脱PPAPの手法の中でも、セキュリティ面や業務効率化の観点から最近特に導入が増えているのがクラウドストレージサービスです。
脱PPAP対策ツールとしてクラウドストレージサービスを選ぶ際は、セキュリティ面、利便性、価格などを総合的に考えて検討することが必要です。業務効率の改善に向けて、管理者と使用者が安全・安心かつ簡単に利用できるかどうかという点も考慮する必要があるでしょう。
Shachihata Cloudが提供するファイル管理サービスは、文書や動画、画像等のデータをアップロードして保存や共有が可能です。細かなアクセス制限の設定が可能でセキュリティ面での各種規格もクリアしていますのでPPAP対策のためのデータ共有ツールとしてはもちろん、文書等の社内データの共有ツールやバックアップとしてなどニーズに合わせた利用が可能です。
オプションとして提供しているファイルメール便もPPAPの代替手段として有効です。ファイルをShachihata Cloudにアップロードすることで、チェック機能により送付前の内容確認を実施することが可能です。最大500MB×10ファイルという大容量のファイルも送信することができ、1カ月1ユーザー当たり税込110円 で利用できます。
脱PPAPを進めようと考えている場合は、ぜひご検討ください。
詳しい資料はこちら