PPAPという言葉をご存じでしょうか。「ちょっと前に流行った曲?」と思われるかもしれませんが、まったく別のビジネス用語で、ファイルをメールで送る際の手法のことです。わが国では一般的に広まっているやり方ですが、近年はセキュリティの観点からPPAPを廃止するという動きが進んでいます。今回はPPAPの問題点と、それに代わる企業がとるべき対応策について紹介します。
目次
( 1 ) 日本で普及しているPPAPとは
PPAPとは、パスワード付きzipファイルをメールで送信するファイル共有方法です。たとえ、みなさんの会社がPPAPを採用していなくても、取引先がPPAPによるメール送信を行っているケースもあり、知らないうちにPPAPの手法になじんでいるという方も少なくないでしょう。では、PPAPの仕組みを改めて見てみましょう。
- P=パスワード付きzipファイル
- P=パスワード送信
- A=暗号化
- P=プロトコル(手順)
上記の頭文字を取ってPPAPと呼ばれています。送信者は暗号化されたパスワード付きzipファイルを添付してメールを送信し、その後パスワードを別送します。受信者はそのパスワードを使って受け取ったzipファイルを開く、という手順を踏みます。日本では官民を問わず、PPAPは多くの職場で採用されてきました。
( 2 ) PPAPによるファイル共有の問題点
この方法を用いれば、パスワードを知っている人しかファイルを開くことができないため、一見、問題はなさそうです。セキュリティ対策の視点からPPAPの危険性は指摘されていたものの、これまで問題は顕在化していませんでした。
そもそもPPAPは非効率
PPAPではファイルとパスワードが同じ経路(ネットワーク)で送信されるため、この方法がセキュリティ的には意味をなさないとも考えられています。攻撃者にしてみれば、ファイルとパスワードは同じ経路を通っているため、そこを攻撃することで両方とも「盗んで」しまうことができます。PPAPは、手間をかけている反面、セキュリティレベルは担保できておらず、情報漏洩のリスクに常にさらされているのです。
情報漏洩やマルウェア感染のリスクが増大
また、ネットワークには多くのマルウェア(悪意あるプログラム)が潜んでいます。ファイルをzip圧縮すると、ファイルがウイルスに感染していたとしても、検知できない可能性があります。セキュリティソフトによって異なりますが、パスワードがかかったファイルはウイルスチェックがスキップされ、ファイルを解凍した際に感染してしまう危険性が高まります。
( 3 ) 脱PPAPに向けたポイント
近年、脱PPAPの動きがさまざまなところで見られるようになってきました。きっかけとなったのは、2020年11月24日の会見で、平井卓也デジタル改革担当大臣(当時)が、同26日から内閣府、内閣官房でPPAPを廃止すると発表したことです。
政府が脱PPAPに向けて動き出したことで、一般企業でも代替案を講じる機運が高まっています。実際に脱PPAPを検討するうえで、何を重視したらよいかを紹介しましょう。
安全性と利便性の両立
PPAPの代替案を考える上で、まず重視したいのがPPAPに潜むセキュリティリスクへの対策ができており、安全性が担保されているかどうかです。例えば、誤送信を始めとしたヒューマンエラーが起こりにくいか、閲覧権限の設定やデータの暗号化はできているかなどを、もう一度確認しましょう。同時に、データの送受信に手間がかからないこと、メール添付が可能であることなど、社員が使いやすい方法であることも重要です。
危険性の周知と運用ルールの策定
安全かつ利便性の高いセキュリティ対策を導入しても、運用方法が間違っていると効果は発揮されません。研修などを通して社員のセキュリティ意識を向上させ、社内ルールに沿って正しく運用していくことが大切です。
( 4 ) 脱PPAPのための代替手法
脱PPAPの動きは今後ますます加速していくことが予想され、以下のような代替案が注目されています。
オンラインストレージを使う
オンラインストレージとは、ファイルなどのデータをインターネット上に保管するサービスで、クラウドストレージとも呼ばれています。パソコン内部のファイルとオンラインストレージ上のファイルを同期化することで、データの可用性が向上し、社内外のファイル共有が簡単になります。
安全性の高いITツールを導入する
企業が安全性を確認した、信頼できるITツールを導入するという方法もあります。セキュリティ対策やバージョン管理が万全で、データやファイルの共有を安心して行えます。
それぞれに利便性を備えていますが、オンラインストレージには、サービスが停止する可能性や、既存システムと連携しにくいといったクラウド特有の注意点もあります。また、警戒したい事例として、受信メールから偽のURLに誘導され、PDFをプレビューしたところウイルスに感染したという報告があります。デメリットがあることも認識しておきましょう。
( 5 ) 脱PPAPに対応した情報セキュリティゲートウェイ
PPAPによる問題を解決し、これからの新しい働き方を支えるITツールとはどんなものでしょうか。ここからはサクサの「情報セキュリティゲートウェイ GE2000」を例にとって紹介します。
脱PPAPに対応したファイル送信機能
添付ファイル付きメールを送信した際、GE2000がメール本文と添付ファイルを分離し、添付ファイルはサクサ専用クラウドサーバーにアップロードし、メール本文にはダウンロード用のURLを付加して送信します。一連の処理はGE2000が自動で実施するため、送信者はこれまで通りの操作でメール送信できます。
受信者はメールに記載されたURLからクラウドサーバーにアクセスし、別途、通知されたパスワードを入力して添付ファイルをダウンロードします。ファイルはZIPなどで暗号化されていないため、受信者側の環境でUTMなどによるウイルスチェックを行い、安全にファイルの受け取りが可能となります。
( 6 ) まとめ
多くの企業で当たり前のように使われているPPAPの問題点と、企業が進めるべき安全なファイル共有の方法がおわかりいただけたのではないでしょうか。
サクサでは、柔軟で新しい働き方を叶える便利なツールのご提案を通して、企業の働き方改革をサポートしています。ぜひお気軽にご相談ください。
経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。
ぜひ一度お読みください。