セキュリティ 基礎知識

 

脱PPAP!パスワード付きZIPファイルの代替案とは?

脱PPAP!パスワード付きZIPファイルの代替案とは?

PPAPは安全にファイルを共有するためのセキュリティ対策として広く用いられてきました。しかし近年、PPAPには多くのセキュリティリスクがあるとの認識が広まり、脱PPAPが進んでいます。

本記事では脱PPAPを実現するために、PPAPの代替案をご紹介します。

実は間違い!?脱PPAPのために多くの企業がやりがちな代替案

PPAPはパスワード付きZIPファイルを送付した後に、別メールで開封用のパスワードを追送する方法です。

PPAPという名称は以下4つの頭文字をとって呼ばれています。
「P」assword付きZIP暗号化ファイルを送る
「P」asswordを送る
「A」ん号化(暗号化)する
「P」rotocol(プロトコル=手順)

この方法は日本におけるセキュリティ対策の定番として多くの企業で用いられてきましたが、近年では脱PPAPの動きが活発化しています。

この動きが活発化するきっかけとなったのは、2020年11月の会見で平井元デジタル改革担当大臣がPPAPについて「セキュリティ対策や受け取り側の利便性の観点から適切ではない」と発表し、内閣府と内閣官房でのPPAPを廃止する方針を打ち出したことにあります。また、文部科学省も2022年1月4日以降、すべてのメール送受信において、PPAPを廃止し、現在はオンラインストレージを活用しています。

セキュリティリスクといったPPAPの問題については以下記事でご紹介しています。こちらもあわせてご覧ください。

政府が脱PPAPに向けて動き出したことで、一般企業でも脱PPAPの機運が高まり、PPAPの代替案を講じている企業が増えています。例えば、ファイルを暗号化しないで送付したり、ダウンロードリンクを作成してメール送信をしたり、パスワードのみをメール以外で送信するなどの方法です。

しかし、これらの方法はメールを盗み見されてしまった場合に意味を成さないことや、ZIPファイルの脆弱性を防ぐことにはつながらないといったデメリットがあります。また、PPAPの時よりも運用に手間がかかるため、代替案としてはあまり適していないといえます。

では、PPAPの代替案にはどういった方法をとるのが良いのでしょうか。次章ではPPAP代替案を考えるために押さえておきたい前提のポイントを2つご紹介します。

PPAPの代替案を検討する際の2つのポイント

以下ではPPAPの代替案を検討する際に重要な2つのポイントをご紹介します。

ポイント1:セキュリティの安全性と利便性の両立

PPAPの代替案を検討するうえで重要なポイントの1つに、「セキュリティの安全性と利便性の両立」が挙げられます。

まず、PPAPの代替案にはPPAPに潜んでいるセキュリティリスクへの対策ができ、安全性が担保されていることが重要です。具体的には、誤送信といったヒューマンエラーの可能性が低いことや、情報を紛失しづらいこと、資料の作業履歴が残ること、データが暗号化されること、閲覧権限を設定できることなどです。

しかし、安全性が担保されていても利便性が低いセキュリティ対策であった場合、「使い方がわからない」「PPAPの方が使いやすい」「扱いが面倒」などの意見が上がり、浸透しない恐れがあります。そのため例えば、PPAPと同等かそれよりも少ない作業量でデータの受送信ができる、メールへの添付が可能であるなど、利用者の利便性を損なわないような方法であることも重要です。

つまり、PPAP代替案を検討する際は安全性と利便性を両立することがポイントです。そのため、セキュリティの安全性と利便性の両立は自社だけではなく、ファイルのやり取りを行う取引先の条件も踏まえることが大切です。

ポイント2:社員への危険性の周知と運用ルールの策定

2つ目は「社員への危険性の周知と運用ルールの策定」です。

どれだけ安全で利便性の高いセキュリティ対策を導入しても、正しく運用できなければ効果は十分に発揮されません。そのため、全社員に対し研修を実施し、社内のセキュリティ意識を向上させることが重要です。そのうえで、社内ルールを策定し運用することで本当のPPAPの代替策と言えます。

PPAPの代替案3選

以下では、具体的なPPAPの代替案を3つご紹介します。

代替案1:オンラインストレージ

オンラインストレージは、ユーザーやグループが管理されたオンラインのストレージ上にファイルをアップし、共有URLを共有先に送信してダウンロードしてもらう方法です。この方法は、PPAPよりも安全かつ便利にファイルのやり取りが可能です。

メールでファイルを添付する際には容量に上限が設けられているケースが多く、大容量のファイルをやり取りすることはできません。しかし、オンラインストレージであれば大容量かつ複数のファイルを長期間共有できます。また、ファイルを共有する際のURLを違う宛先に誤送信してしまった際にも、URLの無効化ができるためヒューマンエラー発生時のリスクヘッジもできます。

代替案2:ファイル転送サービス

ファイル転送サービスは、特定のサイトにファイルをアップロードしたうえで、発行されるダウンロードリンクを共有先の相手に送付するだけでファイルが共有できる方法です。

会員登録が不要で無料で利用できるサービスも多く、手軽に利用できることが特徴ですが、データの盗聴といったセキュリティリスクが伴います。そこで、最低限のセキュリティリスクを回避するために通信内容が暗号化されるものを選定することが重要です。

代替案3:ZIP以外の暗号化・メール暗号化

PPAPで用いられるZIP以外の形式で暗号化を行う方法もPPAPの代替案になりえます。例えば、OfficeやPDFなどのアプリケーションに標準として備わっている暗号化機能や、送信側によるメールの暗号化「S/MIME」を用いる方法があります。

これらはZIPの暗号化とは異なり、もし第三者に盗み見されたとしても、暗号化された状態のメールは解析されにくいため、安全にファイルのやり取りを行えます。

大興電子通信が紹介するPPAP代替ソリューション

これまでにご紹介した脱PPAPを考える際に押さえておきたいポイントや代替案を考慮して、以下では安全性と利便性を兼ね備えた2つのPPAP代替ソリューションについてご紹介します。

HENNGE E-Mail Security Edition

HENNGE E-Mail Security Editionは代表的なクラウドメールのMicrosoft365やGoogle Workspaceと連携可能なメールセキュリティです。

送付者は普段通りメールにファイルを添付するだけで、自動的にファイルがクラウドにアップロードされ、受信者にはメールとダウンロード用のURLが記載されたPDFファイルが届きます。メール送信時は、別経路からダウンロード用のパスワードが届けられるため、利便性とセキュリティ向上が図れることが特徴です。

また、万が一添付ファイルを誤って送付してしまった場合も、送付後にURLを無効化することができるため、誤送信による情報漏えいリスクを低減できます。

Box

「Box」は世界中の9万社で利用されている法人向けファイル共有サービスです。

Boxは単なるオンラインストレージではなく、クラウド上のコンテンツの管理・共有・コラボレーションの利活用を促進し、業務の効率化や労働時間の短縮など、ワークスタイル変革を実現できます


上記ソリューションの詳細は以下リンクにてご紹介しています。
PPAPの代替案を検討されている方はぜひご覧ください。

HENNGE Box


中須 寛人
この記事を監修した人
16年間、SIerやソフト開発会社でITソリューション営業として従事。
セキュリティおいては、主にエンドポイント、無害化、認証製品の経験を積み
大興電子通信に入社後は、さらに専門性を高め、セキュリティにおける幅広いニーズに答えていくための提案活動や企画プロモーションを展開。
お客さまと一緒に悩み、一緒に課題解決が出来る活動を心掛けている。
大興電子通信株式会社
ビジネスクエスト本部
ICTソリューション推進部
セキュリティビジネス課
中須 寛人

関連記事

  1. セキュリティ 基礎知識

    IT-BCP(情報システム運用継続計画)とは?情報システムの停止を防ぐセキュリティの重要性

    変化の時代、企業は災害やサイバー攻撃など、事業停止にまつわる様々な…

  2. セキュリティ ノウハウ

    社員のセキュリティ教育に。 NISC「インターネットの安全・安心ハンドブック」 (4/20更新)

    企業へのリモートワーク導入が急速に進む今、従業員一人ひとりに高いレ…

  3. セキュリティ 基礎知識

    現場のセキュリティを強化する! 組織に求められる情報セキュリティ担当者の役割とは

    テクノロジーが様々な分野に広まりを見せる今、組織内での重要性が高ま…

  4. セキュリティ 基礎知識

    不愉快なアドウェアはどうやってPCに入り込む?アドウェアの仕組みとその削除対処方法

    頻繁に表示される広告や、勝手にホームページが変更されていると、「も…

  5. セキュリティ 基礎知識

    【不正アクセス対策の新手法】脅威を検知しない?! OSプロテクト型セキュリティとは

    近年、巧妙化するマルウェアによる被害のニュースは後を絶えず、従来の…

  6. セキュリティ 基礎知識

    標的型攻撃とは?基本的な仕組みと対策方法を解説

    サイバー攻撃の手口は年々巧妙になっており、より一層のセキュリティ対…

注目記事

業界別・部門から探す

業務から探す

トピックから探す

ホワイトペーパー

製品カタログ

  1. 新着記事やイベント情報。
    ホワイトペーパーのご案内等お役立ち情報を
    お届けします。
APPGURD

APP GUARD