<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=139163818022217&amp;ev=PageView&amp;noscript=1"> <img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=271598307802760&amp;ev=PageView&amp;noscript=1">

いまだに根強いPPAP運用、その後の効果的な対策とは?

 2021.08.24  Box Japan

2020年11月に内閣府がPPAPの廃止を発表したのをきっかけに、脱PPAPの流れは間違いなく加速しています。しかし現状では、まだまだPPAP方式でファイルを送受信している企業も少なくありません。いまだに根強く残っているPPAP方式の問題点を考察するとともに、脱PPAPを行うにあたり代替案となるファイル共有方法について解説します。

いまだに根強いPPAP運用、その後の効果的な対策とは?

PPAPのおさらい

PPAPはメールでファイルを共有する際のセキュリティ対策のひとつで、パスワード付きZipファイルを送信した直後に、パスワードを別送する送信方法を指します。Zipファイルとパスワードを別々に送信することで、誤送信による情報漏えいを防止できるというのがPPAPの意図です。このような方法でファイル共有を行うことから、「パスワード付きZipファイル」「パスワード」「暗号化」「プロトコル」の頭文字をとってPPAPと呼ばれています。PPAPの概要については、「PPAPとは?パスワード付きZipファイル添付を政府が辞める理由」の記事で詳しく解説しているので、参考にしてみてください。

関連記事:「PPAPとは?パスワード付きZipファイル添付を政府が辞める理由

「PPAP」
P:Password protected Zip file(パスワード付きZipファイル)
P:Password(パスワード)
A:Angoka(暗号化)
P:Protocol(プロトコル)

PPAPのセキュリティ面における問題点

PPAPの問題点についても、おさらいしておきましょう。PPAP方式によるファイルの送受信は、個人情報保護法が制定された2005年頃から2010年にかけて広く普及しました。しかし、PPAPはZipファイルとパスワードを別送信するといっても、基本的に同じ通信経路でメールが送信されます。そのため万が一、1通目のメールが盗聴されてしまった場合、同一回線から送信される2通目も同様に窃取される可能性が高いといえます。

また、Zipファイルにマルウェアが仕込まれていた場合、一般的なセキュリティソフトでは検出が困難であるため、危険性を判別できない可能性があります。内部の人間によるヒューマンエラーや意図的な情報漏えい、流出への対応も困難を極めます。組織にとって情報管理は重要な経営課題のひとつであり、多くの企業がセキュリティ対策の一環として、PPAP方式を取り入れました。しかし、PPAPによるセキュリティ機能は極めて限定的であり、年々巧妙化してきているサイバー攻撃に対しての効果は期待できません。

このようなPPAPの脆弱性は、有識者の間では以前より問題視されていました。セキュリティの脆弱性やファイルとパスワードが分離することによる非効率さ、Zipファイルとモバイルデバイスといった観点から見ても、もはやPPAP方式でのファイルのやり取りは時代遅れになっています。このような背景も相まって、2020年11月に平井卓也デジタル改革担当大臣が、内閣府および内閣官房でPPAP方式によるファイルの送受信を廃止する旨を発表しました。そして、それに追随するかのように多くの企業で脱PPAPの動きが加速しています。

参考文献:平井内閣府特命担当大臣記者会見要旨(令和2年11月24日)

Boxひとつですべてが変わる クラウドコンテンツ管理プラットフォーム
セキュアな情報共有にBoxが効きます!

PPAPの対応に関する環境変化

ここからは、近年のPPAPの対応に関する環境変化について見ていきましょう。

セキュリティ対策としてPPAP対策を実施する企業が増加

先述したように、以前からPPAPのセキュリティリスクについては言及されていました。そして、政府の脱PPAP宣言の発表に伴い、ファイルの送受信におけるセキュリティ対策を強化しようと企業が次々に動き始めています。特に、PPAPに代わる手段として普及しているのが、クラウドサービスによるファイルの共有です。そもそもファイル共有をなるべくセキュアに行うことが目的だったこともあり、現代の流れでもあるクラウドストレージやクラウド型のコンテンツ管理サービスを導入し、セキュアな情報共有基盤やコラボレーション基盤を構築する企業が増加しています。

リモートワーク環境整備と合わせ対策が進む

近年、働き方改革の推進や新型コロナウイルスの感染拡大の影響から、テレワークを導入する企業がさらに増加しています。テレワークは新しい時代に即した働き方として、さまざまな業界から大きな注目を集めているワークスタイルです。しかし、社内ネットワーク経由で社内システムに接続して業務に取り組むという性質上、自宅を含めた遠隔地から業務を行う場合には、VPNもしくは手元に業務ファイルを持つ必要があり、PCやモバイルデバイスの紛失や盗難による情報漏えいインシデントも危惧されます。

そこで、多くの企業が実施しているのが、インターネット経由で利用できるデジタルワークプレイスの整備です。ネットワーク上のセキュリティリスクにさらされているリモートワーク環境を整備するためには、セキュアなファイル共有基盤の構築が欠かせません。このようなリモートワーク環境の整備と同時に、PPAPに代わるファイル共有方法として、業務ファイルの管理活用や、社内外とコラボレーションできることを中心に考えられたデジタルワークプレイスの整備が進んでいます。

PPAPの対策として企業に導入される手法

PPAPの代替案として、3つのファイル共有方法が挙げられます。それが「メール暗号化」「ファイル転送」「共有リンク」です。ここからは、PPAPに代わる具体的なファイル共有方法について解説していきます。

メール暗号化

メール暗号化とは、メールの本文や添付ファイルを暗号化する手法です。「公開鍵」と「秘密鍵」と呼ばれる2つの暗号方式を利用し、メールの本文や添付ファイルそのものを暗号化することで、第三者による盗聴や改ざんを防止します。メール暗号化を取り入れるためには、メールセキュリティに特化したITシステムの導入が必要です。代表的なサービスとして「proofpoint」や「SecurityGateway」などが挙げられます。

共有リンク

先述したように、PPAPの代替案として今最も普及しつつあるのが、クラウドストレージによるファイルの共有です。クラウドストレージは、保存されたファイルの共有リンクを作成して相手に送ることで、社内外を問わず円滑な情報共有が実現します。共有リンクは、情報の閲覧・編集におけるアクセス権限を設定できるため、ファイルを共有したい相手によって、セキュリティの調整が可能です。代表的なクラウドストレージサービスとして、「Box」や「Dropbox」などが挙げられます。

メール+共有リンク

どうしてもメールで共有したいという企業であれば、メール添付で送受信はするが裏でメールがBox等のクラウドストレージと連携し、自動で添付ファイルをクラウドストレージに置き、共有リンクを代わりに送信するという連携ソリューションもあります。「mxHero」や「MCメール」などが代表的なソリューションとして挙げられます。

[SMART_CONTENT]

Boxによる基盤整備でDX推進

PPAPの代替案として、セキュリティの堅牢性と共有の利便性の双方に優れるのは、クラウドストレージによるファイル共有です。情報通信技術の進歩とともに、企業が取り扱うデータ量は指数関数的に増大しており、膨大な経営データを管理するためには、大規模なITインフラを構築しなくてはなりません。しかし、ファイルサーバーやネットワーク機器などを整備するためには、莫大な導入費用と管理コストが必要です。クラウドストレージであれば、物理的なファイルサーバーやネットワーク機器の導入や増設が不要で、なおかつセキュアなファイル共有基盤を構築できます。単にパスワード付き暗号化zipファイルを添付したメールによるファイル共有(PPAP)の代替手段としてだけではなく、業務コラボレーションを現在のニーズに合わせることができる他、効率化と表裏一体の情報セキュリティや情報ガバナンスも強化できるなど、企業のニューノーマル、DXを推進する非常に重要な基盤として活用できます。

CTA

RECENT POST「セキュリティ」の最新記事


セキュリティ

メールでパスワード別送は何が問題なのか?

セキュリティ

PPAPは何のため?その本質と有効なソリューション

セキュリティ

企業がファイル転送サービスを使うべきでない3つの理由

セキュリティ

話題のPPAP対策!BoxとmxHeroの連携でメールセキュリティも強化

いまだに根強いPPAP運用、その後の効果的な対策とは?