これまでは、パスワード付き暗号化ZIPファイルをメールに添付してやり取りするPPAPが採用されていました。しかし、脱PPAPを掲げる企業が増え、代替案に悩む担当者も多いのではないでしょうか。本記事では、脱PPAPがなぜ急務になっているのか、有効な代替案とはどのようなものなのかについて解説します。
脱PPAPとは?現状を解説
脱PPAPとは、メール送受信におけるセキュリティ対策として、従来のパスワード付きZIPファイル(PPAP)方式を廃止し、より安全で効率的なファイル共有方法へ移行する取り組みを指します。2020年11月、平井卓也デジタル改革担当大臣(当時)が内閣府および内閣官房におけるPPAP廃止方針を表明したことをきっかけに、脱PPAPの動きが活発化しました。
そもそもPPAPとは?
脱PPAPについて解説をする前に、まずはPPAPについて解説します。
PPAPは、従来企業でWordやPowerPoint資料などのファイルを送信するときに採用していたファイル共有方法です。
「P」:パスワード(Password)付きZIPファイルを送信
「P」:パスワード(Password)を送信
「A」:暗号化(Angoka)
「P」:プロトコル(Protocol)
上記4つの頭文字をとってPPAPと呼ばれています。以前は、企業間で広く利用されていましたが、近年ではセキュリティ対策として不十分であることが指摘され、多くの企業で禁止されています。
PPAPについては、下記の記事で詳しく解説していますので併せてご覧ください。
PPAPとは?パスワード付きZIPファイルの概要と問題点について
脱PPAPが推奨される3つの理由
PPAP(パスワード付き圧縮ファイル暗号化方式)は、情報漏えいを防ぐためのセキュリティ対策として、活用されていました。しかし、PPAPには問題点も多くあり、脱PPAPが推奨されるようになりました。脱PPAPが推奨される主な理由を3つ紹介します。
ZIP暗号化の脆弱性
PPAPの最も大きな問題は、ZIPファイルでのメール送信がセキュリティ面で安全とはいえないことです。
現代では、コンピュータの性能が向上し、専用ツールと時間があればZIPファイルのパスワードを解除できるといわれています。加えて、ZIPファイルでメール送信をする際は、ファイルの中身をウイルスソフトで確認できません。悪意のあるファイルがZIPファイルで送られた場合に、ウイルスソフトで検出できないためウイルス感染のリスクもあります。
ZIPの復号に手間がかかる
脱PPAPが推奨される理由の2つ目は、PPAPでは、ZIPファイルの暗号化と復号化をする際、手間がかかることです。ファイル数が少なければそれほど手間に感じませんが、多くのファイルを企業間で送信する場合は、暗号化する送信側も、復号化する受信側も手間がかかります。
さらに、Windowsで暗号化したファイルをMacで復号化する場合、文字化けしたり復号化できないというケースも多いです。復号化するための専用のツールを使用するなど、受信側に負担がかかることが問題視されています。
情報漏えいのリスクをカバーしきれない
脱PPAPが推奨される理由の3つ目は、PPAPでは情報漏えいのリスクを防ぎきれないことです。PPAPではセキュリティを高めるためファイル付きのメールと、パスワードを別々に送信していますが、誤送信時のセキュリティリスクを避けられません。
もしZIPファイルを誤って不適切な受信者に送信した場合、ZIPファイルの暗号は脆弱なため、容易にファイルを復号化できてしまいます。
また、PPAPではZIPファイルを添付したメールと、パスワードを記載したメールを同経路で送信しているため、どちらかあるいは両方のメールを盗聴される可能性もあります。
デジタル庁も実践する脱PPAP
現在多くの企業で運用されているメール送信時の添付ファイルZIP暗号化。PPAPとも呼ばれるこの手法は個人情報などを含むファイルの送信時のセキュリティを高めるために使われてきた手法ですが、以前からその手間の多さやスマートフォンで閲覧できないなどの懸念は指摘されていました。またPPAPにもセキュリティリスクは存在するため実際に、日立・富士通といった大手ITベンダーは、次々と脱PPAPを宣言しています。2020年11月24日に平井卓也デジタル改革担当大臣が「内閣府・内閣官房でPPAPを廃止する」と発表したことは記憶に新しく、これをきっかけに各企業でも代替手段の検討が急務となっているのです。
先述したように、実際に、PPAPには複数のリスクが存在します。昨今では、テレワーク需要の増加に伴い、セキュリティの強化が重要視されています。そのため、セキュリティリスクを軽減する脱PPAPの実現が求められているのです。
企業が脱PPAPを行うメリット
セキュリティリスク軽減や信頼性向上など、脱PPAPを実施することは、企業にとって多くのメリットがあります。企業が脱PPAPを行う主なメリットを3つ紹介します。
セキュリティが強化される
脱PPAPは、マルウェアやウイルスからの保護を強化し、セキュリティリスクを軽減する有効な手段です。
PPAPを続けると、危険なウイルスやマルウェアに晒されるリスクを負うことになります。脱PPAPを実施し、代替のセキュリティ対策を講じることで、セキュリティ環境を大幅に強化できます。脱PPAPでサイバー攻撃対策を行い、安全なファイル共有を行いましょう。
クライアントからの信頼性がアップする
脱PPAPによるセキュリティの向上は、クライアントとの信頼関係を深めることにつながります。PPAPを使用し続けると、メールの送受信時にセキュリティリスクが常に伴うため、取引先も常に同様のリスクを背負うことになります。場合によっては大きな損害を引き起こすこともあるでしょう。
脱PPAPを積極的に進めることで、セキュリティリスクを防ぎ、取引先からの信頼を高めることができます。セキュリティを強化することは、取引先との安全なコミュニケーションを保証し、長期的な関係性の構築を可能にします。
業務効率化につながる
脱PPAPの取り組みは、生産プロセスや品質管理の効率化にもつながります。デジタルツールを使用した脱PPAPにより、メールを介した情報交換のプロセスが大幅に簡素化され業務効率が向上します。
従来のPPAPでは、情報をZIPファイルにまとめ、それをパスワードで暗号化し、さらにそのパスワードを別途メールで送信する、受信者は復号化が必要になるなど、手間と時間を要する作業が必要でした。
脱PPAPを行うことで、これらの煩雑な手順を省き、情報の送受信を直接かつ迅速に行えるようになります。結果として、企業全体の生産性が向上し、時間とリソースをより価値の高い活動に充てることが可能になります。
脱PPAP対策|有力な代替案
先述したように、PPAPはセキュリティリスクを伴うものです。それでは、どのような方法でファイル共有すれば安全性が確保できるのでしょうか。以下で、有力な代替案を紹介します。
アクセス制限機能付きのクラウドストレージ
脱PPAPの有効な手段として、まず挙げられるのがクラウドストレージです。クラウドストレージを活用すれば、利用者間で簡単にファイルをやり取りできます。送信相手がクラウドサービスの利用者でない場合も、有効期限付きのURLからアクセスすることにより、安全にファイルを共有できます。
アクセス制限・ファイル捜査権限など、セキュリティを保持する機能が備わっています。また、クラウドストレージを利用してファイルをやり取りすれば、パスワードを別送する手間もかからず、生産性の向上にもつながるはずです。
無料で使えるタイプもありますが、サービスの品質を保証するSLAが設定されていなかったり、セキュリティ的に劣ったりするケースがあるため注意が必要です。有料のタイプでは、セキュリティが担保されているため安心して利用できます。数多くのサービスが提供されているので、自社の利用シーンや目的に合わせて検討してみましょう。
送信側・受信側の双方でS/MIMEを利用する
メールでファイルの送受信を行う場合には、S/MIME が有効です。S/MIMEとは、メールのセキュリティを高める暗号化方式のひとつです。メールに電子署名を用いることで、なりすましメールやメール改ざん防止にも役立ちます。
安全にファイルのやり取りを実行できるS/MIMEですが、送信側・受信側の双方がこの暗号化に対応していることを前提とするため、運用は容易ではありません。また、導入にはコストがかかります。そのため、あまり普及していないのが現状です。
グループウェアを導入する
グループウェアは、業務プロセスとコミュニケーションの効率化を実現するシステムです。グループウェアを導入すると、タスク管理やスケジュール管理、ファイル共有といった機能を利用できます。安全にファイル共有ができ、業務効率化にもつながるため脱PPAPに最適なサービスといえるでしょう。
このシステムは、ユーザー間の情報共有を促進し、操作履歴の追跡やファイルのアクセス権限設定を通じて、高度なセキュリティ保護下での業務の円滑化を支援します。グループウェアの導入により、企業は業務効率の向上とともに、機密性の高い情報管理の強化を図ることが可能になるでしょう。
ファイル転送サービスを利用する
ファイル転送サービスは、クラウド上でファイルの送受信を行うサービスです。メールに添付が難しい大容量のファイルの送受信ができます。
送信者はWeb上にファイルをアップロードし、ダウンロードURLを発行します。受信者は受け取ったURLへアクセスするとダウンロードできます。中には、無料のサービスやアカウント登録が不要なサービスもあるため、手軽に利用できるというメリットがあります。
しかし、グループウェアと異なり、ファイル転送以外の機能が利用できないケースも多いです。他の機能も利用したい場合は、導入前に提供されている機能を確認しましょう。
チャットツールを導入する
チャットツールは、瞬時のコミュニケーションと情報共有を可能にするアプリケーションで、ファイル共有機能もあります。導入により脱PPAPをよりスムーズに行うことができるでしょう。また、このようなツールを使用することで、チームメンバーや関連部門間での迅速な意思疎通が実現し、問題解決のスピードが向上します。
チャットツールには、ファイル共有の他にも、ビデオ会議、タスク管理などの機能が備わっています。特に、リモートワークが普及している現在、チャットツールの導入は、チームの連携を保ちながら脱PPAPを推進する上で重要な役割を果たします。
脱PPAPのための代替案|3つのクラウドストレージサービス
脱PPAPの最有力候補となるのがクラウドストレージサービスの利用です。ここでは、代表的なクラウドストレージサービスをピックアップするとともに、その特徴やメリットについて紹介します。
Box
Boxは世界で約100,000社、日本だけでも7,000社以上が使っているクラウドストレージサービスです。高度なセキュリティはもちろん、詳細な権限設定によって大切なファイルを保護してくれます。Microsoft 365やSalesforceなど、さまざまな外部アプリと連携できる柔軟性の高さもBoxの魅力です。
さらにBusinessプラン以上の利用では、ストレージ容量の制限がなくなります。ディスク容量の節約や確保に時間を割く必要から解放されるため、業務の効率化にもつながるはずです。ログを保存して管理する機能も搭載されています。ファイルごとに、誰の手によってどのような変更が加えられたのかがスムーズに把握できるので、進捗管理にも活用できます。
関連記事:Box クラウドストレージとは? メリットや使い方、連携を解説
OneDrive
OneDriveは、Microsoft社が提供するオンラインストレージサービスです。One Driveの大きなメリットは、多くの企業で利用されるOfficeとの高い親和性です。OneDriveにアップロードしたファイルは、自宅や出先など場所を選ばずさまざまなモバイルデバイスからアクセスできます。
メールには添付できない大容量のデータでも、OneDriveに保存してURLを伝えれば、リアルタイムな共有も可能です。WordやExcelをはじめとしたOfficeアプリは、直接OneDriveから開いて作業できるため、業務の効率化にも期待できます。OneDrive上で複数の担当者と共同編集できる機能も備わっています。
関連記事:実際に安全なの?OneDrive(ワンドライブ)の最新セキュリティ機能とリスクを徹底分析
Google Drive
Google Driveは、Google社が運営するクラウドストレージサービスです。Google Driveを活用するメリットのひとつに、Google社ならではの強みともいえる検索性の高さが挙げられます。Google Drive上に保存されているファイルの内容まで細かくチェックし、検索結果を表示してくれるため、目的のファイルをスムーズに探し出せます。
GmailやGoogleスプレッドシートなどをはじめ、Google社が提供する各ツールと親和性が高いのも特徴です。Google Driveに保管されたファイルへのアクセスは、暗号化により保護されます。また、共有されるファイルは自動的にスキャンされ、問題がある場合には自動的に削除されるなど安全性の高さも魅力です。共有されたGoogleドキュメントなどのファイルは、リアルタイムでの共同編集も可能です。
関連記事:企業でGoogleドライブを活用する際に行うべきセキュリティ対策まとめ
脱PPAP対応の新機能を追加した「HENNGE One」
脱PPAPを実現するためには、ファイル共有のセキュリティリスクを低減することはもちろん、利便性の高さも重要です。たとえセキュリティ性が高くても、ユーザーにとって使いにくいものであれば浸透しないでしょう。
「HENNGE One」は、セキュリティ性と利便性の両立に有効なソリューションです。前章で紹介したMicrosoft 365やGoogle Workspace 、BoxやDropboxなど複数のクラウドサービスへの包括的なセキュリティ対策が可能です。
HENNGE OneではさまざまなクラウドストレージやクラウドメールのID/Passwordを統合できるシングルサインオン機能とセキュリティ対策を実施できる多要素認証(MFA)機能が提供されています。
また、クラウドストレージでは権限指定が必要なさまざまなファイル共有も、HENNGE Oneの機能であるHENNGE Secure Transferを利用すれば権限設定なしの時限的クラウドストレージでファイルを転送することで解決できます。
さらにメールの添付ファイルをZIP暗号化以外にも自動的にクラウドストレージへ格納して受信者に共有することもできるため脱PPAP対策をさまざまな手法で実現することが可能です。
そして、HENNGE Oneの機能の1つであるHENNGE Secure Downloadを利用することで、脱PPAP対策も可能です。このツールは、送信者が指定した相手のみメールや添付されたファイルを確認できる仕組みとなっているため、セキュリティ強化に役立ちます。メールに添付ファイルがある場合は、ダウンロードURLをクリックするとHENNGEのシステムから認証コードが届き、コードを入力することでファイルのダウンロード・閲覧が可能になります。
HENNGE Secure Downloadを利用することで、スマ―トフォンでもファイル閲覧が可能で、添付ファイルのウイルスチェックもできるなど多くの利点があります。
まとめ
これまでセキュリティ対策として行われてきたPPAPから脱却するには、送信者・受信者の利便性を考慮しながらセキュアな通信を実現することが重要です。
テレワークの普及により、利便性の高いクラウドストレージを利用する企業が増えています。一方で、セキュリティ対策を見直さなくてはならない場面も増えてくるかもしれません。
脱PPAPという課題を抱えているのなら、複数のクラウドサービスへのセキュアなアクセスを実現するSaaS認証基盤、HENNGE Oneの導入を検討してみてはいかがでしょうか。
