脱PPAP導入事例とは?|PPAP脱却の必要性とおすすめ代替ツール
2021年12月20日公開 (最終更新日:2021年12月20日)
政府や大手ITベンダーが脱PPAPを表明することによって、企業のセキュリティ意識も見直されるきっかけになりました。そこで脱PPAPに成功した導入事例を参考におすすめの代替ツールをご紹介します。
目次
PPAPとは?
PPAPとは、以下の頭文字をとった略語です。
- P……パスワード付きZIPファイルを送ります
- P……パスワードを送ります
- A……暗号化します
- P……プロトコル
少々強引ですが、暗号化ZIPファイルとパスワードを別々に送ることで、セキュリティ対策になると広まりました。しかし、ZIPファイルのパスワードは比較的簡単に解析できます。暗号化ZIPファイルさえ入手できればパスワードがわからなくても開けられる可能性が高いので、情報漏洩につながります。また、誤送信の場合は暗号化ZIPファイルもパスワードも同じ宛先に誤送信してしまう可能性が高いです。不十分なセキュリティ対策として廃止する動きになっています。
PPAPについてはこちらの記事をご覧ください。
PPAPとは?ピコ太郎じゃない!?今話題の業務メールのセキュリティ問題「PPAP」のことがわかる
オンラインストレージサービスを通して脱PPAPを実現する!
脱PPAPを実現するには、より安全なファイル転送方法が必要です。オンラインストレージサービスなら、セキュリティ対策もでき、送受信の手間も省くことができます。
オンラインストレージサービスがPPAPより優れている理由
オンラインストレージサービスはセキュリティ面と作業効率の面でPPAPよりも優れています。
PPAPではファイルを添付したメールと、パスワードを記載したメールを同じアドレスに同じ経由で送るため、セキュリティ対策としてはあまり効果がありません。一方、オンラインストレージサービスにはさまざまなセキュリティ機能があります。
また、PPAPでファイルを送る際には、送信側によるファイルの圧縮と受信側によるファイルの解凍が必要となり、手間がかかります。しかしオンラインストレージサービスなら、ファイルを加工する必要はなく、大容量ファイルでもそのまま転送可能です。
法人利用は企業向けオンラインストレージサービスがおすすめ
法人がオンラインストレージサービスを利用するなら、企業向けサービスがおすすめです。以下のような理由があげられます。
- セキュリティが優れている
- システム管理ができる
それぞれを詳しく見ていきましょう。
セキュリティが優れている
企業向けのオンラインストレージは高いセキュリティの機能を提供しているサービスが多いです。一部を紹介します。
- ウイルスチェック
- 暗号化通信・暗号化保存
- 多要素認証
- アクセスログの確認
ファイルのアップロードまたはダウンロード時にウイルスが入っていないかチェックできます。また、操作画面や通信、保存中のファイルを暗号化することで情報漏洩リスクを減らすことが可能です。
パスワードだけでなく、生体認証やスマートフォンでの認証で本人確認をする多要素認証も取り入れられています。
また、アクセスログでは「誰が、いつ、どのファイルにアクセスしたのか」を確認できるため、不正なアクセスにも気付きやすいです。
Web脆弱性への速やかな対応体制
Web脆弱性とはシステムの不具合や欠陥を指し、セキュリティ上の弱点という意味で「セキュリティホール」と呼ばれることもあります。攻撃者は脆弱性を悪用して攻撃してくるため、迅速な対応が必要です。
サービス提供者は、脆弱性情報を収集し対応していることもあります。もし、脆弱性が見つかった場合は、サービス提供者はパッチと呼ばれる修正プログラムを作成して対応します。
企業向けオンラインサービスでは、このような速やかな対応体制がある場合が多いです。
システム管理ができる
システム管理機能を使って、組織で効率的にオンラインストレージを活用できます。例として以下のようなものがあります。
- 管理者の登録、ユーザーの登録、ユーザーの有効期限
- ディスク容量の確認
- サポート対応
法人向けの有料オンラインストレージでは管理者を設定できます。また、ユーザーごとに有効期限を設定できるサービスでは、一時的な利用にも対応可能です。
ディスク容量も確認できます。容量が足りずに転送ができないというトラブルも、事前に容量を追加で契約することで避けられるでしょう。
導入前、導入時、導入後の3つのフェーズで異なるサポート対応が必要になります。有料オンラインストレージでは、すべてのフェーズでサポート対応可能な場合が多いです。
脱PPAPを成功させるなら「Bizストレージ ファイルシェア」
脱PPAPには、NTTコミュニケーションズが提供するBizストレージ ファイルシェアがおすすめです。通信事業者としての安定性と高いセキュリティが、多くのお客さまから評価を受けています。
Bizストレージ ファイルシェアの機能
- 1度に2GBまでのファイルを送信・アップロード可能
- 上長承認ワークフロー
- アーカイブ
- 送信先制限
- 8種類のアクセス権限
- 24時間体制でシステムを監視
- 複数拠点でディザスタリカバリー対応
上長承認機能により誤送信対策ができます。また、メールにファイルの添付をするのとは違い、もし誤送信をしてしまってもダウンロード用URLを無効にすることで、ファイルの転送や共有を取りやめることもできるのです。
脱PPAP導入事例・Bizストレージ ファイルシェア利用者の声
脱PPAPのための導入事例と利用者の声を紹介します。
導入事例
● きらら保険サービス株式会社 (金融・保険業)
保険代理店はお客さまに関する情報を扱うことが非常に多い業種である。きらら保険サービス株式会社では、プライバシーマーク認定企業として、情報漏洩防止のためにメールに添付するファイルすべてを暗号化して送るという社内ルールを決めていた。
ところが運用を開始してほどなく、予期せぬ事態が発生したと久保氏は説明する。2007年にメール暗号化のためのCWATという情報セキュリティ対策ソフトを採用しました。お客さまにファイルを送る際は、自己復号型の実行形式である.exeファイルをメールに添付するのですが、お送りした見積書などが届かないということがしばしばありました。調べてみると原因は、ウイルス対策の一環として受信側のサーバーが.exe拡張子のついたメールをすべてはじいてしまうことにありました。
すべてのお客さまにセキュアに情報をお届けするためにはどんな方法がよいのか。半年間検討する中で、ShareStage ASPサービスの存在を知りました。導入を決めたのは、実際に試してみて、一度ファイルをサーバーに上げてお客さまにダウンロードしていただく方式が一番安全で扱いやすいと感じたことです。コスト面でもかなり魅力のあるサービスでした。
久保氏はまた、オプション機能の自動データ削除と統計情報を活用している。お客さまがダウンロードしたというメールが送信者に届いたら自分で消去するルールにしています。ただ、うっかり忘れる社員も中にはいます。そこで、サーバー上にファイルを置けるのは10日間というルールにして、10日たったら自動削除するようにしました。統計情報は、何かあったときにログが1ヵ月単位で取り出せるので契約しました。アップロードは社内の人間だけの操作ですので、ファイルを外部へ送るときは記録を残しますよ、と周知しておけば情報漏洩の抑止になります。
● オリーブ国際特許事務所 (特許事務所)
特許出願に関わる書類はテキストが主なものだが、それ以外にも図面やCADデータ、写真、PDFとさまざまな種類を扱っている。特許庁への提出まで、すべてが秘密性の高い情報のため普段からクライアントの情報管理への要求は厳しい。メールのみの通信は秘密保持の点から避け、代替できる手段を探したという。
秘密保持には万全を期しながら、管理に手間のかかる大掛かりなシステムは導入したくない。この課題を解決してくれたのがShareStage ASPサービスです。導入に際しては国内外の数社と比較検討をしてみたという。「決め手はやはり、業務上で何かあった時にサービスを提供する会社の信頼性やブランドが、お客さまに説得力を持つかどうかです。知名度が高く、どんなシステムで機密性を保持しているのかがしっかり理解できる環境のNTT Communicationsなら我々の要望に適っていると判断しました。
出願書類の作成は、海外にいる翻訳者とのやりとりが多く、必要に応じてIDを付与しています。外国人に説明のいらない簡単な操作でファイル共有ができることで、現地のスタッフからは好評ですね。海外の翻訳者はMacユーザーが多く、アクセスがWindowsに限定されないのも喜ばれている理由です。
● 企業名非公開 小売・卸売業
社外の人と機密性の高いデータの受け渡しを行う際、以前はメールに暗号化ZIPにして添付し、解凍パスワードを別メールで送付するという運用をおこなっていました。また大容量ファイルの受け渡しについては、都度無償のオンラインストレージを利用していましたが、会社として管理ができず、セキュリティ面でも問題視する声が社内から出ていました。今回PPAP問題が提起され代替方法を用意する必要が出たことから対応策を検討した結果、上記の問題が同時に解決できるこちらのサービスを採用することとしました。
同様なサービスは無償のものも含めて多数ありますが、何と言ってもNTTグループの提供しているサービスということで送る側も受け取る側も信頼度が高いのが一番のポイントと考えます。使い勝手も大変よく、初めてでもほぼ迷わずに使うことができると思います。また使用領域が一定期間でクリアされていくためストレージ系でよくある、使っているうちに誰が置いたのかわからないファイルが増えて容量を圧迫していくようなこともないため管理も楽です。
ITreview(Bizストレージ ファイルシェアのレビュー - 信頼度の高いオンラインストレージ)
● 企業名非公開 情報通信・インターネット業
外部へファイル共有するにあたり、基本的に必要なオプション(相手の既読や有効期間など)を設定することができ、標準的な業務で十分に利用可能です。またNTTコミュニケーションズが提供していることから、クラウドファイル共有を嫌気する企業でも比較的受け入れられる傾向にあります。
ITreview(Bizストレージ ファイルシェアのレビュー - 標準的な外部へのファイル共有ツールです)
● 企業名非公開 ソフトウェア・SI業
優れている点・好きな機能
- UIがシンプルで、全くマニュアルを見なくても設定、操作ができる
- 大容量ファイルでも割とすぐに送れる
解決できた課題・具体的な効果
- メールでの添付ファイル受信に制限があるお客さまへも大容量ファイルが送れた
- ファイルの形式で受信に制限があるお客さまへも問題なく送れた
まとめ
パスワード付きZIPファイルとパスワードを別々に送ることで、セキュリティ対策をしようと広まったPPAPですが、あまり効果がなく廃止する動きが加速しています。
脱PPAPを成功させるには、セキュリティが高く業務効率化もできるオンラインストレージサービスの導入がおすすめです。NTTコミュニケーションズが提供するBizストレージ ファイルシェアでは、通信事業者としての設備やノウハウでシステムの安全性と安定性を高めています。
今回紹介した脱PPAP導入事例では、実際にPPAPを廃止しオンライストレージによる転送・共有へ変更することに成功しています。また、PPAP対策以外にも業務効率がアップした例もあります。
脱PPAPを検討中の方におすすめのサービスです。