お問い合わせはこちら

【PPAPで考える】重要なファイルを安全に送付し共有する方法とは?

公開
更新

さまざまなコストと効果のバランスで、PPAPを見直す動きが広まっています。一人ひとりのユーザーが取り組む情報セキュリティ対策として広まりましたが、効果が低いと考えられるようになりました。ファイルを単に送付する手段としてではなく、ファイルを安全に「共有」する方法は他にもあります。情報セキュリティ対策を進める際、問題を正しく理解し、組織やユーザー自身でよく検討してから、自らの目的に合う対策への移行が現実的と考えます。

PPAPという略語に込められた狙い

手元のPCにあるファイルを物理的に離れた誰かに送付する場合、メールに添付する方法が長らく使われてきました。簡単な方法として今でも多く使われています。メール送受信に使われているメールサーバーに、完璧ではありませんがある程度の安全対策がされてきたからです。その仕組みの一つに STARTTLS があります。

STARTTLSについてカゴヤのサーバー研究室では、以下の記事で詳しく解説しています。

【図解】メールの暗号化で使われるSTARTTLSとは?仕組みと利用方法を解説します

【図解】メールの暗号化で使われるSTARTTLSとは?仕組みと利用方法を解説します

Gmailで受信したメールに、もし赤い鍵のアイコンが付いていたらどうしますか。これはメールが「暗号化」されていないときの表示ですが、何に気をつけたらいいのでしょうか。この記事ではメールの「暗号化」で使われる技術のうち、「STARTTLS」の大切な理由や仕組み、注意点をわかりやすく解説しています。これで安心してメールが利用でき、情報セキュリティが向上してお客様からの信頼にもつながります。 メールの暗…

それではPPAP という方法が広がった後に、なぜ見直しされるようになったのでしょうか。

PPAP は何の略か?

こちらの情報によれば、PPAPとは以下の言葉を略してできた用語です。

P:パスワード(Password)付きZIP暗号化ファイルを送信する
P:パスワード(Password)を送信する
A:暗号化(Angoka)する
P:プロトコル(Protocol)

引用: 一般財団法人日本情報経済社会推進協会(JIPDEC)

何か新しい仕組みを広めようとして、PPAPという用語ができた訳ではありません。むしろ逆で、従来のやり方の問題点を指摘するために提唱されました。その結果こちらの情報によれば、「セキュリティしぐさ」とさえ言われるようになったのです。

これまで何のためにPPAPを実施してきたか

万一メールが盗み見され添付ファイルが開かれたとしても、そのファイルが開かないように暗号化しパスワードをかけておけば安全と考えられ、伝えられてきました。メールの受信者だけにはそのパスワードを伝えなければならならず、別にメールを作成し送信していました。ファイルを添付するメール本文にパスワードを記入して送るのは、安全対策として全く意味がなかったからです。

PPAPを業務に取り入れてわかった問題点とその原因とは

手軽ですぐに実践できる情報セキュリティ対策として、有効と考えられていた時期がありました。ところが仕事のルールとして導入してみると、理屈では効果があるようでも以下のような問題点がわかってきました。

コストと効果のバランスは取れていたか

情報セキュリティ対策の管理方法として、手間ひまと成果のバランスが取れていなかったと考えています。業務の手順にわざわざ PPAP の手順を加えたにもかかわらず、情報セキュリティの基本的なリスクが存在し続けていたからです。典型的な事例は以下の通りです。

(1)機密性

暗号化したファイルをメールに添付して送り、別メールでパスワードを受信者に伝えることは一見安全に思えますが、どちらのメールも同一経路で送信されているため、その経路上を第三者に盗聴されていたとしたらパスワードまで傍受されるため暗号化の意味がありません。

(2)可用性

メール受信時にウイルス対策ソフトなどで、「Emotet」などマルウェアの疑いがあるファイルを自動的に削除するようにしていても、多くの場合暗号化された ZIP ファイルにはウイルスチェックができないため、マルウェア感染対策が困難になります。万一感染すると、関連するシステムが一時的に利用できない時間が発生します。

そのため「Emotet」対策としてメールの添付ファイルがZIPファイルの場合は受信を拒否する運用に切り替えるケースも増えています。

カゴヤのサーバー研究室ではマルウェアについて以下の記事でわかりやすく解説しています。

【実用コラム】マルウェア対策のキホン!サーバーへの感染・拡大を防ぐために

【実用コラム】マルウェア対策のキホン!サーバーへの感染・拡大を防ぐために

マルウェアに感染して個人情報が流出した…などニュースでは聞いたことがあっても、どんな危険性があり、どう対策すればいいか分からない方も多いと思います。 企業で言えば、業務で使っている従業員各々のPCが狙われやすく、ここからネットワークを通じて基幹システムのサーバーや他PCに感染し、拡大していく危険性があります。 こちらの記事では、あらためてマルウェアについて概要と対策をまとめています。とくに対策では…

組織の情報セキュリティ対策ルールとして妥当だったか

2020年から2021年にかけて、官庁や公的な機関が PPAP への見解や対応を相次いで発表し、問題があることを明らかにしました。

動き発表者時期
プライバシーマーク制度では従来から推奨しない
(「お知らせ」)
JIPDEC2020年11月
テレワークセキュリティガイドライン 第5版
(80ページ)で注意喚起
総務省2021年5月
大臣が中央省庁での廃止を発表
(記者会見、発表は内閣府)
デジタル庁2020年11月

PPAPがかかえる問題点の根本原因とは

たとえ以前は効果があった方法でも、その後になって技術の進展により見直されることがあります。今回の PPAP では見直しの原因は以下と考えています。

  1. コストがかからず、ある程度誰にでもすぐにできるファイル送付手段だった
  2. 「個人情報の保護に関する法律」などのルールが整備され、対応策としてPPAP の導入が効果のあるやり方と広まった(一部のコンサルタントによる)
  3. 「プライバシーマーク制度」などの認証取得の際に、PPAP の導入を促す助言が行われた(上記と同様に一部のコンサルタントによる)
  4. 情報セキュリティ対策を進める多くの組織にとり、対策の実務経験が不足し、手法の是非が判断できず助言のまま PPAP を始めてしまった

PPAPよりさらに安全で使いやすい手順に切り替える!

まずは検討する際のポイントをまとめ、引き続きメールを使用する場合と別の手段での場合とに分け説明しています。そもそも本当に重要なファイルは、メール送受信の仕組みだけに頼る方法で本当に安心なのでしょうか。

PPAPを続けるべきか考えるときのヒント

検討を始める際のポイントは以下と考えます。

  • 最初から効果は分からないが、実際に運用した結果を考慮し、代替手段に無理なく切り替える判断もある
  • 「スイッチングコスト」がかかるため、組織で経営判断し予算化する
  • 場合により、各種の指針や専門家の助言は自組織では馴染まないことがあるため、自組織の目的と経験により判断することが理想

メールの仕組みで適切な方法に切り替える

メールや添付ファイル経由の情報漏えいを防ぐメール誤送信防止対策として提供されている「Active! gate」(有料オプション)の「添付ファイルダウンロード」機能を利用すれば、利便性を損なわずにセキュリティを担保する「脱PPAP」の運用を実現できます。

この機能では、添付ファイルを送信メールから自動的に切り離してサーバー上に格納し、そのダウンロードURLを元のメール本文に自動挿入して送信を行います。

メールの受信者は、メール本文のURLから添付ファイルをhttps(暗号化通信)でダウンロードできるうえ、受信者側のセキュリティアプライアンスなどでセキュリティチェックを行えばマルウェア対策も実現できます。

また、このままダウンロード用パスワードをメールで通知してしまうと、同一経路で送ることになってしまいますが、送信者と受信者のみに分かるパスワードヒントのみを送ることでダウンロードパスワードを直接送らず、盗聴を防止する機能も備わっています。

カゴヤ・ジャパンでは、「共用サーバー」(S11を除く)や「マネージド専用サーバー」プランの他、「メールプラン」で、「Active! gate」オプションを利用できます。

メールのセキュリティ課題を解決!|クラウドとレンタルサーバーのカゴヤ・ジャパン

カゴヤの「Active! gate(アクティブゲート)」なら簡単に脱PPAPが可能!社内のメールセキュリティ体制が向上、迷惑メール対策、情報漏えい対策を徹底強化します。移行作業、土日祝サポート体制も備えていますので安心してご利用いただけます。

メールの仕組みを使わずに適切な方法に切り替える

代表的なサービス

メール送受信の機能以外にも、重要なファイルを安全に送付し共有する方法は多くあります。管理者はルールを整備し、利用者は順守することが利用を継続する条件です。

(a) クラウドストレージ

概要クラウド(インターネット)上に用意されたファイルの保管場所で、ルールに基づきファイル共有などの共同作業を行う
代表的なサービスGoogle Drive、OneDrive for Business、Dropbox Business、Boxなど
カゴヤ・ジャパンの事例クラウドバックアップ/Acronis
【使い方】Acronis のファイル共有サービスを使ってみた

【使い方】Acronis のファイル共有サービスを使ってみた

近年、事業継続を迅速に実現させる手段として「テレワーク」というワードへの関心が高まっています。また、場所に縛られない自由な働き方によるワークライフバランスの実現や、多様な人材を確保するための施策として導入を検討されていた方もいるのではないでしょうか。テレワークのシステム自体はすでに多くの企業から提供されているため導入のイメージがつきやすいと思いますが、実際に運用を開始してみるといくつかの課題が浮き…

(b) ビジネスチャット

概要業務に特化し文章や通話以外に、ファイル共有(添付)機能がある
代表的なサービスSlack、Chatworkなど

PPAPから移行する際の注意点

  • あらためて情報セキュリティのリスクを分析し直し、組織にとって問題の有無を検討する
  • 切り替えには利用者で習得や練習時間が必要(利用者により所要時間は異なる)

VPSを利用し自前で構築する方法

外部のサービスを使わずVPSを活用して、自組織で整え利用する方法があります。情報セキュリティ上の安全性を確保しつつ、自組織にあった機能を充実できる柔軟性がメリットと考えます。カゴヤのサーバー研究室では、以下の記事で構築方法をご紹介しています。

(a) クラウドストレージ

Nextcloud でクラウドストレージをつくってみた  ~ サーバー構築編 ~

Nextcloud でクラウドストレージをつくってみた ~ サーバー構築編 ~

中小企業において、「テレワーク」や「働き方改革」などの文脈で、クラウド上に簡単にファイルを保存したり共有できる、クラウドストレージへの関心が高まっています。サブスクリプションで提供されているストレージサービスを、普段から利用されている方も多いのではないでしょうか。これらのサービスは容量に応じた月額料金が設定され、不特定多数のユーザーで同一の基盤を使用するケースが一般的ですが、法人利用の場合はコスト…

(b) ビジネスチャット

【設定手順書】 Rocket.Chatを使ってSlack風チャットツールをVPSに構築してみよう

【設定手順書】 Rocket.Chatを使ってSlack風チャットツールをVPSに構築してみよう

Rocket.Chat(ロケットチャット)とは、独自で安全に利用できるビジネスチャットです。こちらの記事では、VPSへのインストール方法と便利な使い方をわかりやすくまとめています。導入することで、離れた場所にいてもコミュニケーションが取りやすく、作業時間やコストの負担が減り仕事がはかどります。 Rocket.Chatとは? 公式サイトによれば、「世界最大級のオープンソースでコミュニケーションができ…

まとめ

PPAPの見直しにはファイル送付手段の是非に加えて、ファイルを安全に「共有」をする方法も組織内でよく検討することが大切と考えます。利用者にとり無理のない方法であれば、より安心して業務を進めることができ効率化も見込めるからです。