こんにちは。新規事業の開発や既存業務の効率化などに使える補助金・助成金の無料診断 / 申請支援を行う『補助金サポート』を提供しているクラウド軍師運営チームです。
ファイル共有手段のひとつに、PPAPがあります。PPAPはセキュリティを確保しながらファイルを共有できる手段として、一昔前までファイル共有によく用いられてきました。
実際に、一度は利用したことがあるという方は多いのではないでしょうか。
しかし、近年このPPAPを禁止する組織は増加しています。ベンチャー企業をはじめとした多くの企業がPPAPの使用を禁止し、日本政府もPPAP廃止を宣言しました。
これはなぜなのでしょうか。
そこで今回は、企業でPPAPの禁止が進む理由と、その代替手段について解説していきます。
PPAPが禁止に
まずは、PPAPの概要と近年のPPAP禁止の流れについて見ていきましょう。
PPAPとは
PPAPとは、パスワード付きZIPファイルでファイルを共有する手法のこと。1通目のメールに暗号化したZIPファイルを添付して送信し、2通目のメールでそのパスワードを送信するやり方です。
その流れを日本語にした下記の文の頭文字を取って、PPAPと呼ばれています。
P(Password):パスワード付きZIPファイルを送ります
P(Password):パスワードを送ります
A(Angoka):暗号化
P(Protocol):プロトコル(手順)
PPAPでは、ファイルの送信相手がパスワードを入力することで、ZIPファイルを解凍し閲覧することができます。
ファイルとパスワードを別々のメールで送信することによりセキュリティを高める手法として、PPAPは活用されてきました。
進む脱PPAPの流れ
ファイル共有のセキュリティ手法のひとつとしてさまざまな場面で活用されてきたPPAPですが、社会では「脱PPAP」の流れが進んでいます。
その理由は、「リスクが高く、セキュリティ手法として万全ではないから」。
近年では、実際に多くの企業がPPAPを禁止し、別の手段によるファイル共有を進めています。
また、2020年11月には、当時のデジタル改革担当大臣である平井卓也氏が、セキュリティや利便性の面で適切でないとして、「今後政府は中央省庁におけるPPAPを廃止する」と発表しました。
今後組織内でPPAPを禁止する流れは、より強まっていくと予想されています。
PPAPの廃止が進む理由
前章でご紹介したように、ZIPファイルとそのパスワードを別々にメールで送信するPPAPを禁止する組織は増えています。その理由はリスクが高いためですが、PPAPには具体的にどのようなリスクがあるのでしょうか。
ここでは、PPAPの廃棄が進む具体的な理由として、3つのリスクを解説していきます。
【理由①】セキュリティ対策の効果が薄い
PPAPは、暗号化したZIPファイルとそれを解凍するためのパスワードを別々のメールで送ることで、セキュリティを確保するという手段です。
しかし、このやり方については、セキュリティ対策としての効果が薄いと、以前から問題視されてきました。
なぜなら、ZIPファイルとパスワードを別々のメールで送っても、2つのメールの通信経路は同じだから。その通信経路が第三者に盗聴されていれば、その第三者はZIPファイルもパスワードも同時に手に入れることとなり、情報は簡単に盗まれてしまいます。
また、ZIPファイルのパスワード入力にロック機能がない点も問題です。通常、システムへのログインなどでは一定回数パスワードを間違えるとロックがかかってしまいますが、ZIPファイルにそのような機能がなく、何度でもパスワードを試せます。これにより、第三者にパスワードを突破される可能性は高くなり、情報漏洩のリスクは高まります。
【理由②】マルウェアを検知出来ない
マルウェアとは、ウイルスやワーム、トロイの木馬など、悪意のあるソフトウェアを総称した呼び名のこと。わかりやすく、コンピューターウイルスと表現されることもあります。
マルウェアへの感染による情報の流出や乗っ取りは、後を絶ちません。
その感染経路のひとつが、マルウェアを仕込んだ添付ファイルをメールで送信し、相手に開封させ感染させるというもの。しかし、パソコンにセキュリティ対策ソフトを入れてさえいれば、通常の添付ファイルのマルウェアは事前に検知され、ブロックされます。
ここで問題となるのが、暗号化されたZIPファイル。セキュリティ対策ソフトは、暗号化されたZIPファイル内にマルウェアが潜んでいるかどうかを検知することができません。
つまり、PPAPではセキュリティ対策ソフトが役に立たず、マルウェア感染のリスクが高くなってしまうのです。
【理由③】手間がかかる
PPAPは、ファイルの送信側にも、受信側にも一定の手間がかかります。
送信側はソフトを用いてファイルを圧縮し、パスワードを設定した後、2通のメールを相手に送らなければなりません。また、受信側は、メールを確認してパスワード入力によりファイルを解凍し、ウイルススキャンを行ってから、初めてファイルを確認することができます。
このように、ファイルの送信および確認に複数の工数を求められるPPAPは、業務効率を下げてしまいます。
業務効率化が求められる現代ビジネスにおいて、このような手間のかかるファイル共有手法は見直されるべきでしょう。
PPAPの代替手段
PPAPの禁止が進める中、今後のファイル共有にはどのような手段を用いれば良いのでしょうか。
ここからは、PPAPの代替となる3つの手段をご紹介します。
暗号化手段の導入
S/MIME(エスマイム)など、メールを暗号化する手段を導入することで、メールのセキュリティは高められます。通信を傍受されたとしても、第三者が暗号化されたメールを復元することはできないからです。
また、メールに電子署名を付与する機能を利用すれば、なりすましも防ぐことができ、改ざんの検知も可能です。
クラウドストレージの利用
OneDriveやboxなど、インターネット上でファイルの保存・共有が行えるクラウドストレージは、効率的なファイル共有手段として多くの人に利用されています。
クラウドストレージでは、保存場所のURLを共有するだけで簡単にファイル共有ができるだけでなく、離れたところにいる人との共同作業も可能になります。
アクセス権限や公開範囲の設定によりファイル閲覧者を制限できるため、セキュリティ面も○。
クラウドストレージは、PPAPの問題点を補うファイル共有手段だと言えるでしょう。
他経路での連絡
PPAPでは、暗号化したZIPファイルとそのパスワードを、両方とも同じ通信経路で送信する点にリスクがあります。
このリスクを低減させるためには、ファイル送信とパスワード通知の通信経路を変えるやり方が効果的です。例えば、暗号化したZIPファイルはメールで送り、そのパスワードはチャットツールや電話、SMSで知らせるなど。
とはいえ、先ほども述べたようにZIPファイルのパスワードにロックはかかりません。ファイルを盗聴され、パスワードを突破されないようにするには、パスワードを複雑化させることも大切です。
まとめ
ビジネスにおける共有ファイルには、機密情報や個人情報が含まれることも珍しくはありません。そこで重視すべきは、やはりセキュリティ対策でしょう。
共有ファイルの漏洩によるセキュリティ事故は、実際に多くの企業で起こっています。情報漏洩やパソコンの使用停止による業務逼迫を避けるためにも、企業は盗聴やマルウェア感染などのリスクに備えたファイル共有手法を追求しなければなりません。
ファイル共有におけるセキュリティ対策を万全にするには、まずはそのリスクが問題視されているPPAPを廃止し、他の暗号化手段やクラウドストレージを利用するなどの工夫が必要です。
まずは、自社におけるファイル共有の見直しから始めてみてください。
