2020年11月にデジタル改革担当相が、中央省庁の職員が文書などのデータをメールで送信する際に使うパスワード付きZIPファイルを廃止する方針を打ち出したことは、記憶に新しいと思います。Eメールにパスワード付きZIPファイルを添付して送信し、パスワードは別のメールで送るやりとり、いわゆる「PPAP」の問題点と、解決策について取り上げます。
●「PPAP」の語源
PPAPの語源は、問題となるパスワード付きZIPファイルとパスワードを別メールで送る以下の行為の頭文字を取って「PPAP」と称しています。
「P」assword付きZip暗号化ファイルを送ります
「P」asswordを送ります
「A」ん号化(暗号化)
「P」rotocol(手順)
PPAPの問題点
PPAPとは、前述の通り、パスワード付きZIPファイルとその復号化パスワードを別メールで送信することにより、添付ファイルを保護する手段として、日本では広く普及してきました。
しかしながら、2020年11月のデジタル改革担当相のパスワード付きZIPファイル廃止の方針を打ち出したこともあり、PPAPの問題点に注目が集まり、大手企業も「脱PPAP」を宣言するなど、世間を賑やかすことになりました。
では、なぜPPAPに問題があるのかについて、セキュリティ面と運用面で整理してみます。
PPAPのセキュリティ面での問題
悪意のある第三者によりメールアカウントが乗っ取られたり、通信が傍受された際は、ファイルとパスワードを別々のメールで送受信していても、暗号化されたファイルとパスワードの組み合わせが読み取られてしまう可能性があります。
また、ファイル暗号化強度のルール設定と徹底も重要です。ZIPのファイルの暗号化パスワードは、適切な文字数や大文字、小文字、記号などの利用ルール設定による暗号化強度を担保することと、そのルールの遵守徹底を行う必要があります。添付ファイルの暗号化とパスワード送信を自動的に行うアプリケーションを使えば、この問題は解決できますが、手作業でファイルの暗号化とパスワードの送信を行っている企業も多く存在しているのが実情ではないでしょうか。
ZIPファイルそのもののセキュリティチェックも難しい面があります。ZIPファイルにマルウェアが仕込まれていないかをチェックできるセキュリティ製品も普及し始めておりますが、従来型のアンチウイルス製品では、パスワード付きZIPファイルのチェックに対応していないものも多く利用されています。
PPAPの運用面での問題
スマートフォンやタブレット端末を業務利用している企業も多いですが、デバイスによっては、パスワード付きZIPファイルを展開できなかったり、追加のアプリケーションインストールが必要な場合があります。企業によっては、セキュリティポリシーにより、定められたアプリケーション以外のインストールを禁止しているケースもあります。個別のアプリケーションのインストールを許可する場合も、システム担当部門によるアプリケーションの脆弱性や定期的なアップデートの徹底など、セキュリティを担保する必要があり、運用面での負荷が高まります。
また、メールの宛先を間違いによる誤送信のリスクも抱えております。添付ファイルを誤った宛先に送信してしまうと、そのパスワード通知メールも同じ宛先に送信してしまう可能性が高く、結果、添付ファイルとパスワードが漏えいしてしまうことに繋がります。
PPAPに代わるファイル共有手段として有効なクラウドストレージの活用
では、社外の人とファイル共有を行うにあたり、PPAPの代替手段として最適な方法は何でしょうか?その答えは、「クラウドストレージの活用」です。
クラウドストレージでファイルを共有する方法として、ファイルへのアクセスURLを発行して、そのURLをファイル共有相手に送り、ファイルをダウンロードしてもらうことになります。多くのクラウドストレージサービスには、ファイル共有URLに有効期限や受取り回数、パスワードを設定する機能が付与されております。
しかしながら、これだけでは共有するファイルの安全性を担保するには十分とは言えません。ファイル共有URLとパスワードを第三者に知られてしまうと、結果的にはPPAPと同じことになってしまいます。
コンテンツ管理クラウドストレージとしても優秀な「Box」
PPAPの代替手段としてはもちろん、ファイル共有だけでなく、コンテンツ管理インフラとしても有効なサービスがクラウドストレージ「Box」です。
Boxは、単なるクラウド上にあるストレージではなく、業務に関するあらゆるコンテンツの管理・共有・コラボレーションができる企業向けクラウドストレージサービスです。年々増えていくデジタルコンテンツを容量無制限で、場所やデバイスを問わず、様々なコンテンツへのセキュアなアクセスと情報の共有・活用を可能にします。
社内・社外間のファイル共有も、ファイルそのものをやりとりするのではなく、Boxに保管されたファイルやフォルダへの共有リンクでやりとりが可能ですが、この共有リンクにはユーザー単位やファイル/フォルダ単位で7段階のアクセス権限を設定することが可能です。
ファイルのダウンロードやプレビュー権限の有無はもちろん、編集や削除、アップロードなど、共有するユーザーごとに適したアクセス権限を細かく設定することができます。
また、クラウドストレージ以外にも、グループウェアやビジネスチャット、WEB会議システムなど、複数のクラウドサービスを利用することが当たり前になっております。各種クラウドサービス利用時にファイル共有することが頻繁に発生しますが、それらのファイルの統合コンテンツ管理プラットフォームとしてBoxを活用することにより、セキュリティと利便性を高く保つことが可能となるのです。
つまり、PPAPのように、人から人へコンテンツ(ファイル)を動かすのではなく、必要に応じたアクセス権限設定や多要素認証などで、堅実なセキュリティ対策がされたクラウドストレージ環境にコンテンツを置き、そこに対してアクセスする、という「コンテンツを基本動かさない」方法で情報漏えいを防ぐことが重要となります。
Boxは、悪意の有無に関わらず、情報漏えいを起こさせない「コンテンツ・ガードレール」という考えを適用しています。この考えは、コンテンツに「分類」を設定することによって、各ファイルの機密度・重要度に応じた共有範囲や操作の制限を行い、情報漏えいを防ぐことに繋がります。このBoxの「コンテンツ・ガードレール」の考えを適用することで、PPAPを廃止し、よりセキュアなコンテンツのやりとりを実現することができるのです。