脱PPAP対策が必要な理由|代替案はオンラインストレージサービス
2021年11月18日公開 (最終更新日:2021年11月18日)
暗号化したZIPファイルを使った、間違ったセキュリティ方式のPPAP。政府は脱却を提言しています。PPAPの問題点を理解した上で、有効なセキュリティ対策を検討してください。代替策となるオンラインストレージサービスについても紹介します。
目次
PPAP対策とは
セキュリティ対策のPPAPとは、ファイルをZIP形式で暗号化した上でメール添付し、続けてそのパスワードをメール送る方法です。以下の頭文字を取っています。
- P……パスワード付きZIPファイルを送ります
- P……パスワードを送ります
- A……暗号化
- P……プロトコル(手順)
PPAPは何故、間違ったセキュリティ方式と言われるのか
PPAPが間違ったセキュリティ方式だと言われるのは、以下のような問題があるからです。
- セキュリティ対策としては効果が弱い
- ZIPファイルはウイルス対策がしにくい
パスワードをかけて暗号化したファイルとパスワードを別々に送る方法は、一見高いセキュリティ効果があるように感じます。しかし、どちらか1通を盗み見できる状態なら、もう一方も見られる可能性が高いため、別々に送る効果はほとんどありません。
メールに添付されたファイルのウイルスチェックを自動で行うセキュリティ対策製品を使っている企業も多いのですが、パスワード付きZIP形式のファイルにウイルスが入っていると検知できない場合も多く、開いた途端にウイルスに感染してしまう例もあります。
PPAP対策はセキュリティを見直すこと
PPAPでのファイル送信はセキュリティ面で問題があります。PPAP以外のファイルの送信方法を探し、セキュリティについて見直すことがPPAP対策と言えます。
詳しくはこちらの記事に記載しています。
PPAPとは?ピコ太郎じゃない!?今話題の業務メールのセキュリティ問題「PPAP」のことがわかる
脱PPAPが推奨される理由
脱PPAPが推奨される理由としてセキュリティ以外に業務効率の問題もあります。
PPAPで送るファイルは作成と送付に手間がかかります。
- ファイルをZIPファイルに変換する
- パスワードを発行する
- ファイルとパスワードを2通のメールに分けて送る
受信者側も逆の手順でファイルを見られるようにする作業が必要です。ファイル1つだけならそれほど大変ではないですが、何度もファイルのやり取りをする場合や複数の取引先からのファイルを見られるようにする場合は、多くの時間を必要とします。
また、受信者がメールを必ずPCで確認するとは限りません。スマートフォンでZIPファイルを確認するのは手間がかかります。
政府から脱PPAP対策を提言
以前より多くのIT専門家からPPAPの問題点は指摘されていました。そして、2020年11月にデジタル改革担当相が政府会見で「今後、中央省庁ではPPAPを廃止します」と発言したことにより、広く認知され話題となりました。同月中に内閣府と内閣官房ではPPAPによるファイル送信が廃止され、民間のストレージサービスでファイルの共有をしています。
政府の決定は、大手企業を中心に多くの民間企業に影響を与えています。今後、PPAPの廃止を検討する企業は増えることでしょう。
PPAPを行う際に、起こりうるデメリット
PPAPでファイル送信をすることで、どのようなデメリットが考えられるのか紹介します。
誤送信した際に取り返すことができない
メールアドレスを間違えてZIPファイルとパスワードを送ってしまった場合、受信者はファイルの暗号を解いて見られる状態になってしまいます。送信者が後からファイル送信を取り消すことができず、受信者に未開封のまま削除を依頼することしかできません。
暗号化ZIPファイル内のウイルスが検出できない
前述した通り、受信側のメールサーバーにメールが届いた時点で添付されたファイルのウイルスチェックをする、ゲートウェイ型と呼ばれるセキュリティ対策ソフトがあります。しかし、暗号化ZIPファイルの中にウイルスがあると、チェックできない可能性があるのです。
マルウェアとは、ファイルを開いた時点で動作するウイルスを添付ファイルの中に潜ませる方法です。マルウェアメールは業務メールを装った本文とファイルが送られてきます。結果として、多くの人が業務に関わるものだと思い込みファイルを開いてしまいます。
暗号化ZIPファイルを受け取らない取引先も増加している
マルウェア攻撃から会社を守るため、すべてのZIPファイルを受信できないように設定する企業も増えています。ウイルスが入っているかわからないのなら、すべてのZIPファイルを受け取らなければいいという考え方です。
当然ながら業務で必要なZIPファイルも受け取れないため、別の方法でのファイルの送受信を考えなくてはいけません。
PPAP対策にはBizストレージ ファイルシェア
NTTコミュニケーションズが提供するBizストレージ ファイルシェアは法人向けファイル転送・オンラインストレージサービスです。Webブラウザーだけで使用でき、最大2GBの大容量ファイルや機密情報のやり取りにも使用できます。
特徴を3点紹介します。
誤送信した際に取り消しができる
ファイルを添付したメールを誤送信してしまうと取り消すことはできません。しかし、Bizストレージ ファイルシェアなら誤送信しても取り消しが可能です。誤送信を防ぐことも大切ですが、人為的ミスをゼロにするのは難しいです。起きてしまった際に対処する方法があるので安心して利用できます。
アクセスの履歴が確認できる
アクセス履歴を確認できます。ファイルを送信した相手のうち、「誰が、いつ、どのファイルを、何回ダウンロードしたのか」という情報が確認可能です。ファイルを確認してほしい相手にきちんと届いているのか、不自然なアクセスがないかのチェックできます。
安全性の高いシステム環境でファイル送信ができる
安全性が高く安心して使うことができるのも特徴です。
- 暗号化通信、ファイルの暗号化保存
- ファイルのウイルスチェック
- 多要素認証
すべての画面と操作における通信は、最長256bitのSSL/TLSで暗号化されていて、安全にやり取りができます。また、ユーザーがファイルをアップロードやダウンロードする際にウイルスチェックをするように設定が可能です。アップロードされたファイルは暗号化して保存します。また、なりすましなどの不正アクセスに対して有効な、多要素認証機能も備えています。これらのセキュリティ対策をユーザーや企業が意識することなく利用できるという点はメリットです。
まとめ
PPAPとはパスワード付きZIPファイルを使ったファイルの送信方法です。セキュリティ対策として使われていますが効果が小さく、受信者にとってファイルの内容を確認する多くの作業が負担になるという問題もあります。さらに、2020年の11月に内閣府と内閣官房はPPAPの運用を廃止すると発表したため、注目を集めました。今後、多くの企業が廃止の検討を進めていくと考えられます。
PPAPの代替案としてはオンラインストレージサービスがおすすめです。NTTコミュニケーションズが提供するBizストレージ ファイルシェアは法人向けのサービスで、暗号化通信やファイルのウイルスチェックなどの安全性の高いシステム環境が整っています。
また、Webブラウザーだけで使用でき、最大2GBの大容量ファイルのやり取りも可能など、使いやすい機能も充実しています。大容量ファイルの分割作業や受け取り確認メールの送信などが不要になり、業務の効率化も可能です。