2023.08.03
2020年11月に政府がPPAP方式でのファイル共有の廃止を発表しました。これを契機に、民間企業にもPPAPを廃止する「脱PPAP」の流れが生まれ、急速に広まっています。
この記事では、PPAPの問題点やデメリット、脱PPAPによって生じるメリットと、具体的な代替方法などについて詳しく解説します。
セキュリティリスクのあるファイル共有方法「PPAP」対策に
脱PPAPおすすめサービス特集はこちら目次
PPAPとは?
PPAPとは、パスワード付きのZIPファイルを送信した後、別のメールで改めてパスワードを送信するファイル共有方法のことを指します。
日本語と英語が混ざっていますが、「Password(P)が必要なファイルを送信する」「Password(P)を送信する」「暗号化=Angouka(A)」「Protocol(P)」の頭文字を取り、PPAPと表記されるようになりました。
以前まで、PPAPは手軽なセキュリティ対策としてさまざまな企業に採用されていました。しかし昨今では、セキュリティ対策としての効果の弱さや、ファイルを受け取る側の負担の大きさなどから、PPAPの利用を廃止する動きが生まれています。
脱PPAPはなぜ必要?PPAPの問題点・デメリットとは
脱PPAPが広がっている理由として、PPAPの4つの問題点が挙げられます。
- 2通のメールを同じ経路で送ることによるリスク
- ZIPファイルの暗号強度の低さ
- マルウェア感染の危険性
- 利便性の低さ
2通のメールを同じ経路で送ることによるリスク
PPAP方式はZIPファイルを添付したメールとは別に、パスワードを記載したメールを送信する方法です。しかし、この2通のメールは同じネットワークを通るため、ファイルを添付したメールが窃取されると、パスワードを記載したメールも同様に窃取されてしまう可能性があります。
ZIPファイルの暗号強度の低さ
ZIPファイルのパスワードシステムの暗号強度は低く、パスワードを総当たりするようなツールによって、短時間で解除されてしまう可能性があります。
マルウェア感染の危険性
パスワード付きのZIPファイルは、メールアドレスがわかっていれば誰でもファイルを送受信できます。
受信者も通常、セキュリティ対策ソフトを導入し解凍の際にウイルスチェックを行います。しかし、ソフトによってはパスワード付きのzipファイルの解凍ができず、ウイルスチェックを回避してしまうリスクがあります。
例えば、2020年に流行したマルウェア「Emotet」は、感染してしまうと次々と悪意のあるプログラムをインストールします。このマルウェアは、感染源となるファイルをパスワード付きのZIPファイルにしてメール添付するという方法で拡散されました。
最近では、パスワード付きZIPファイルが添付されたメールを受信すると、添付ファイルを自動的に削除する仕組みを導入している企業もあります。
このようにマルウェアなどの悪意あるプログラムへの警戒が、PPAPでのファイル共有の禁止につながっています。
利便性の低さ
PPAPは利便性にも大きな問題があります。送信側はZIPファイルにパスワードを設定して添付送信し、その後パスワードをメール送信とするという複数の手順をこなさなければなりません。受信側も2回に分けてメールを確認し、パスワードを使ってファイルを展開する必要があります。
また、スマートフォンやタブレットで受信する場合、ZIPファイルを開くために使うアプリがパスワード付きのZIPファイルに対応していないこともあります。その場合は、パスワード付きのZIPファイルに対応したアプリをインストールする必要があります。
以上のような理由から脱PPAPの必要性が高まっており、ファイル共有の代替案が求められています。
政府や大手企業による脱PPAPへの動き
2020年11月24日、デジタル担当大臣が内閣府と内閣官房でPPAPを全廃し、クラウドストレージからファイルをダウンロードする方式に移行する方針を発表しました。
同じく2021年12月に、文部科学省もクラウドストレージを使った共有に全面変更することを発表しました。民間企業もそれに追随し、情報通信業から小売業やサービス業まで幅広い業種の企業が続々と脱PPAPを宣言しています。
(参照:平井内閣府特命担当大臣記者会見要旨 令和2年11月24日)
脱PPAPを実践するメリット
ここまでPPAPの問題点や脱PPAPへの動きを解説しました。実際に脱PPAPを実践すると以下のようなメリットがあります。
メールのセキュリティリスクの低減
メールにファイルを添付したり、添付ファイルをZIPで暗号化したりすることがないため、PPAPのセキュリティリスクを回避できます。
ZIPファイルの解読による情報漏えいや、ZIPファイルを介したマルウェアの感染を防ぎます。
業務の効率化
セキュリティの観点だけでなく業務効率化も期待できます。
ZIP暗号化は、送信者にはパスワード設定とメールの別送といった手間が生じます。受信者もファイルの復号の手間がかかるため、脱PPAPによりその手間を省くことができます。
取引先へのセキュリティも向上
脱PPAPは取引先へのセキュリティも向上します。ファイル添付メールやパスワードメールの誤送信で機密情報漏えいが起きてしまうと、漏えいした情報の内容によっては取引先に大きな損害をもたらし、自社の社会的信用を失う可能性もあります。メール誤送信など人的ミスも想定したセキュリティ対策がなされたファイル共有方法に切り替えることで、このようなリスクを回避しやすくなります。
セキュリティリスクのあるファイル共有方法「PPAP」対策に
脱PPAPおすすめサービス特集はこちらPPAPの代替方法
クラウドサービスの利用がスタンダードになりつつあります。
ファイル共有においても、PPAPに代わる手段としてクラウドサービスの利用を選択する企業が少なくありません。安全にファイルを共有する方法をいくつか紹介します。
ファイル転送サービス
送信側がファイル転送サービスにファイルをアップロードすると、ダウンロード用のURLが発行されます。そのURLを相手に伝えることで、ファイルを引き渡すことができます。
通常はダウンロード用のURLに3日~1週間程度の有効期限が設けられており、期限を過ぎるとダウンロードできなくなります。
複数ファイルをまとめてURL化することが可能ですが、ファイルを追加したい場合は、改めてURLを発行する必要があり、ファイルの一元管理には向いていません。
オンラインストレージ(クラウドストレージ)
オンラインストレージとは、「インターネット上(オンライン)のデータ保管庫(ストレージ)」のことで、同じ意味でクラウドストレージと呼ばれることもあります。
あらかじめ確保したオンラインストレージにファイルをアップロードし、そのファイルの共有URLを相手に送信する方法です。受信側はそのURLからファイルのダウンロードが可能です。
ファイル転送サービスとの大きな違いは、対象となるファイルの閲覧や編集、ファイルダウンロードの権限をアカウントごとに制限することができる点です。こうした権限の設定は、通常はメールアカウントなどの個人を特定できる情報と紐づけて設定します。
そのため、意図しない相手に誤って共有URLを送信しても、その相手に閲覧権限が設定されていなければ、ファイルの確認はできません。
サービスによっては、アップロードしたファイルのアクセスログを確認できます。閲覧やダウンロードの回数や時刻などが記録されるため、情報漏えいなどのトラブルにも迅速に対応できます。
これ以外に、オンラインストレージを介したファイル共有は、添付可能なファイル容量が比較的大きいという特徴もあります。メール添付では対応できない大容量のファイルでも、オンラインストレージならば共有することが可能です。
オンラインストレージの詳細は下記の記事を参照してください
オンラインストレージとは?導入メリットと企業向けに選ぶポイントを解説ZIP形式以外の暗号化
脆弱性が指摘されるZIP以外の形式で暗号化することもPPAPの代替方法です。暗号化機能がついているMicrosoft OfficeのソフトウェアやPDFの形式で、暗号化したファイルを添付するほか、メール自体のセキュリティを高める「S/MIME」などを用いてメールを暗号化するなどの方法があります。
いずれも第三者がファイルを盗み見ようとしても解析が難しいため、ファイル共有時に高いセキュリティ効果を発揮します。
脱PPAPを実践する際の注意点
脱PPAPを実践する際に重要なポイントとして、安全性や利便性の検討や社内でのルール策定が挙げられます。
安全性が担保されているか確認する
PPAPの代替として選択する際に重要なのが、安全性が担保されているか否かの確認です。
閲覧権限の細かい設定に加え、誤送信など、人的ミスによる損害を防止する仕組みが備わっているかを確認します。また、問題発生時にその原因を素早く特定するために、作業ログの保存などの対策が採られているかも重要なポイントです。
効率化につながるような利便性があるか見極める
PPAPは送信から閲覧までの手順が多く、効率が悪い方法です。大容量のファイルでも高速でやり取りが可能か、複数人でもファイル共有がしやすいか、どのデバイスでも内容の閲覧や編集がしやすいかなど、利便性についての見極めを行う必要があります。
社内周知や運用ルールを徹底する
セキュリティや利便性に優れた代替方法でも、従業員が正しい利用方法を知らなかったり、注意点を知らなかったりすれば意味がありません。
脱PPAPにより、新しいシステムの導入や、従来の作業手順を変更する場合には、運用ルールの策定と社内への周知が重要です。
マニュアルを配布するだけでなく、全従業員を対象に社内研修を行い、利用方法の習熟を進めるとともに、社内全体のセキュリティ意識向上の啓発に努めましょう。
脱PPAPは無料ツールでも可能?
脱PPAPを試みるにあたり、コストをかけずに無料ツールの導入を検討するというケースもあるでしょう。
無料ツールはコスト的に導入しやすいものの、手動でのファイル削除や権限設定ができなかったり、利用ログの履歴が管理できなかったり、何かしらの課題が残ってしまうツールも少なくありません。利用ログの管理ができなければ、万が一情報漏えいが起きた時、誰がいつ利用したかの確認ができずに対応が遅れる可能性があります。
無料ツールでも利便性の高いものはありますが、ビジネス利用には機能の充実した有料ツールの導入が安心です。
脱PPAPにおすすめのサービス2選
大容量と強固なセキュリティでビジネス利用に最適な2つのオンラインストレージを紹介します。
Bizストレージ ファイルシェア
オンラインストレージ「Bizストレージ ファイルシェア」は、「ファイル送受信」機能と「共有フォルダー」機能を利用できるサービスです。
送受信ファイルのウイルスチェック・暗号化機能のほか、IPアドレスによるアクセス制限、FW・WAFによる不正アクセス検知・遮断、送受信の権限・承認機能など、ビジネスで安全にファイル共有を行えます。
ファイル容量1GBから1TBまで幅広く用意されているプランから、自社の利用状況に合わせて選択可能です。
| ディスク容量 | 月額基本料金 | 最大ユーザー数 |
|---|---|---|
| 1GB | 15,000円 (税込16,500円) |
1,000 |
| 2GB | 26,000円 (税込28,600円) |
2,000 |
| 10GB | 65,000円 (税込71,500円) |
10,000 |
| 100GB | 95,000円 (税込104,500円) |
10,000 |
| 500GB | 150,000円 (税込165,000円) |
10,000 |
| 1TB | 200,000円 (税込220,000円) |
10,000 |
Box over VPN
「Box over VPN」は、ストレージ容量無制限で社内のファイル共有や業務アプリケーションとのシームレス連携を可能にするクラウド上のファイルコンテンツ運用・管理基盤です。
あらゆる種類のファイルをオンラインで容量無制限で保存し、PC、スマートフォン、タブレットなどから、いつでもどこでも簡単にファイルへアクセスできます。
100種類以上のアプリケーションに対応した強力なプレビュー機能により、アプリが搭載されていない端末でもコンテンツの閲覧が可能です。
写真やビデオから機密情報に至るまですべてのファイルを、デスクトップと同様に、フォルダーごとにオンラインでセキュアに管理できます。
まとめ
ZIP形式のファイル共有は脆弱性が問題視され、脱PPAPが加速する流れになりました。政府や複数の企業はすでに脱PPAPに向けて進んでいる状況です。
脱PPAPに適したツールを導入し、自社のセキュリティ対策向上を検討してみてはいかがでしょうか。
セキュリティリスクのあるファイル共有方法「PPAP」対策に
「Bizストレージ ファイルシェア」「Box over VPN インターネット型」の機能比較表も!
