コラム
2023-07-24
脱PPAPとは?5つのリスクと3つの代替手段
脱PPAPとは
PPAPとは、以下の4つの単語の頭文字を取った略語です。
- Password付きZIPファイルをメールに添付して送信します
- Passwordを先のメールに続けて送信します
- Aん号化(暗号化)
- Protocol(プロトコル)
ZIP形式で暗号化したファイルをメールで送信し、その後に復号用パスワードを別途送信する方法は、長年多くの企業で誤送信対策として使用されてきました。1通目の添付メールが誤った宛先に送信されても、2通目の復号化用のパスワードメールがなければファイルを開けないためです。しかし、近年ではセキュリティや利便性の問題が指摘され、この方法の廃止や禁止が求められています。このようにPPAPを廃止し、別のファイル共有方法に移行することを脱PPAPと言います。実際、2020年11月24日に当時の平井デジタル改革担当大臣が内閣府・内閣官房において「自動暗号化ZIPファイルの廃止」を表明[※1]しました。
本記事では、PPAPとは何か、その問題点、そして脱PPAPに向けた具体的な対策について説明します。
PPAPによる添付メール送信
PPAPの問題
日本国内で広く普及しているPPAPですが、以下の問題点があります。
2通目もそのまま誤送信する可能性がある
どんなに手間をかけても、人的ミスによる誤送信を100%防ぐことは不可能です。1通目を誤った宛先に送信していたことに気付かず、2通目も同じ宛先に送信してしまうことは十分に起こりえます。
メールが盗聴され情報が漏えいする可能性がある
メールサーバやネットワークにセキュリティホールがある場合、メールを2通に分けても同じ経路を通るため、盗聴リスクは以前として存在します。このリスクは常に念頭に置くべきです。
マルウェアに感染する可能性がある
暗号化されたファイルはメールサーバのウイルスチェックをすり抜ける可能性があります。その結果、暗号化ファイルにマルウェアが混入し、受信者に迷惑をおかけするような事態になりかねません。
手間がかかる
一つのファイルを共有するために、送信者は受信者に2通のメールを送る必要があります。パスワード付きメールの送信を失念する可能性もあります。また受信者も、後続のメールを確認し、復号キーで暗号化を解除し、ファイルを解凍する作業が必要です。セキュリティリスクとは別の観点の問題点ですが、双方に手間がかかり、非効率的です。
取引先にファイルを共有できない可能性がある
脱PPAPを掲げ、PPAPを禁止する企業も増えており、パスワード付きZIPファイルの送受信を抑制する仕組みを導入している企業もあります。このため、今後もPPAPを続けている場合、業務に大きな支障が生じる可能性があります。
このように、PPAPにはセキュリティリスク、手間の問題、さらには取引先とのコミュニケーションに影響する問題があります。特にセキュリティリスクは、会社の信用を損なうことになりかねません。次に、脱PPAPの手段について見ていきましょう。
脱PPAPの手段
脱PPAPを実現するには、次の代替手段があります。
法人向けのチャットツール
TeamsやSlackなどのチャットツールを使ってファイルを共有する方法です。チャットツールでは、あらかじめ招待されたメンバーのみがファイル閲覧やダウンロードができるため、メールサーバを介さずに情報漏えいリスクを抑えることができます。すでにコミュニケーションツールとしてチャットツールを利用しているなら、脱PPAPの一環として、まずチャットツールを活用するのも有効です。
法人向けクラウドストレージサービス
Boxなどのストレージサービスを利用することで、脱PPAPが実現できます。セキュリティが確保されたストレージにファイルをアップロードし、外部に共有する際にはダウンロード可能なURLを発行します。受信者は、共有されたURLをクリックすることで安全にファイルをダウンロードできます。また、特定のメンバーのみが閲覧やダウンロードできる共有フォルダを運用する方法もあります。
添付ファイル分離サービス
添付ファイル分離サービス
添付ファイル分離サービスは、メールを送信時にメール本体と添付ファイルを自動で分離し、一時的にサーバ上に保存します。送信者の手順は変わりません。分離サービスには、自動ダウンロードURL発行機能や保留機能などがあります。自動ダウンロードURL発行機能は、受信者がダウンロードする前にダウンロードURLを無効にすることで、誤った宛先への送信でも添付ファイルの流出を防ぐことができます。保留機能では、チェックや確認を第三者に依頼することも可能です。これもまた脱PPAPを支援する有効な手段です。チャットツールやストレージサービスを導入していても、メールの使用が必要な業務においては、「うっかりPPAPしてしまう」リスクがあります。しかし、添付ファイル分離サービスを利用すると、メール全体を対象にした完全な脱PPAPを実現できます。
脱PPAPにおすすめの添付ファイル分離サービス
添付ファイル分離サービスについて、おすすめのサービスを紹介します。
safeAttach
クロス・ヘッド社[※2]が提供する「safeAttach」は、安価かつ簡単にメールの誤送信防止と脱PPAPを同時に実現します。メールの送信の保留機能や添付ファイルの分離機能、パスワード別送機能などを利用することで、負荷の少ない脱PPAPの運用が可能です。またURLからファイルをダウンロードすることを禁止されている取引先など、例外的な対応が必要な場合でも、ZIP暗号化機能や第三者承認機能などを組み合わせ、柔軟に対応できます。
safeAttachの主な機能
| 保留機能 | メールにファイルが添付されている場合のみ送信を一時保留し、送信者に内容確認を強制させる機能。 |
|---|---|
| 添付ファイル分離機能 | メール本文と添付ファイルを分離し、受信者はメール本文に差し込まれたURLからファイルをダウンロードする機能 |
| パスワード別送機能 | ファイルのダウンロード用のパスワードを自動でランダムに生成し、パスワードを別送する機能。セキュリティ強化のため、パスワードが別サーバから送信されるオプション機能も利用。 |
| ZIP暗号化機能 | URLからファイルをダウンロードすることを禁止されている取引先に対してメールでファイルを送信する場合、添付ファイルを自動でZIP暗号化する機能を利用。 | 第三者承認機能 | 添付ファイルとして送信する必要がある場合、部分的に第三者承認の機能を利用。 |
【表】safeAttachの主な機能
「safeAttach」はアイテック阪急阪神でも実際に利用しています。導入に至るまでの背景と、導入後の効果については「千人規模で月額30万円程!添付ファイル分離サービス導入事例|アイテック阪急阪神」で詳しく記載しています。また「safeAttach」の詳細や価格については、「safeAttach」サービス紹介資料をご覧ください。
今後もPPAPを継続するか、脱PPAPを目指すか
本記事では、国内で広く使われてきたPPAPのリスクや問題点、そして代替手段について解説しました。かつては、PPAPを用いることで十分なセキュリティ対策が可能と考えられていました。しかし、現在ではPPAPだけでは十分な対策とは言い難いでしょう。
デジタル化が進む中で、見積書や契約書などの従来は紙媒体が中心だったものも、電子データでのやり取りが一般的になりつつあります。この流れは業種や業務内容を問わず、今後も加速するでしょう。それに伴い、企業に求められるセキュリティ対策も変化しています。
先延ばしにせず、脱PPAPに向けて自社でも実践可能な方法を模索してみましょう。本記事で紹介したように、脱PPAPによってメール誤送信を防ぐためのさまざまなサービスが提供されています。自社の規模や環境に合わせ、コストや手間、導入までに要する期間を見積もり、効果的な解決方法を見つけましょう。
アイテック阪急阪神でも、「safeAttach」というメール添付ファイルを分離するサービスを取り扱っています。詳細は「safeAttach」サービスページや「safeAttach」サービス紹介資料をご確認、またはお問い合わせください。
脱PPAPに取り組むことで、よりセキュアで効率的なファイル共有が実現できます。今後もPPAPを継続するか、脱PPAPを目指すかを検討してみてください。
関連資料をダウンロード
safeAttachご紹介資料
メール誤送信防止・脱PPAPにより、メールセキュリティ対策を実現するメール誤送信防止ソリューション「safeAttach」のご紹介資料です。
出典
- [※1]内閣府「平井内閣府特命担当大臣記者会見要旨 令和2年11月24日」
- [※2]「safeAttach」はクロス・ヘッド株式会社が提供するクラウドサービスです。弊社、アイテック阪急阪神は販売代理店です。
