データ転送の方法に、「PPAP方式」と呼ばれるものがあります。PPAP方式は、特にセキュリティ面で致命的な問題点を複数抱えており、利用を控えたほうがよい方法です。PPAP方式に代わるデータ転送方法が「クラウドストレージ」です。クラウドストレージは、PPAP方式が抱えている問題を解消し、安全かつ円滑なファイル共有を行えるサービスとして注目されています。企業向けクラウドストレージとして、さまざまなセキュリティ対策を実装しているのがFleekdriveです。本記事では、PPAP方式の問題点とFleekdriveの特徴について解説します。
PPAPの正式名称について
PPAPとはパスワード付きZIPを使用して、ファイルをメールで送信する方式のことで、以下の頭文字を取ったとする説があります。
- Password付きZIP
- Password送信
- Angou化(暗号化)
- Protocol
パスワード付きのZIPを最初に送信し、その後からパスワードを受信者に知らせることでファイルを開けるようにする二段階の方式を採用しています。これまではPPAPを推奨する動きもあり、個人間のみならず企業間でも当然のように使われていました。風向きが変わったのは2020年、日本政府がPPAP方式の廃止を発表してからです。働き方改革やコロナ禍もあり、社内外へのファイルの共有が増えたことで、PPAPを見直す動きが加速しました。
なぜ日本政府はPPAPの廃止を発表したのか?
令和2年(2020年)11月24日、 記者会見で日本政府内ではPPAP方式を廃止すると発表しました。廃止に至った経緯は以下の通りです。
- デジタル庁の施策である「アイデアボックス」の投票で「自動暗号化ZIPファイルの廃止」が得票数1位となった
- デジタルボックスの結果を受けて、内閣府・内閣官房で協議され、廃止が決定された。
ZIPファイルの送信に加え、パスワードを送信することにも危険性が高いとの認識が強く、廃止が決まりました。
参考:平井内閣府特命担当大臣記者会見要旨 令和2年11月24日|内閣府
PPAPでデータ転送をする問題点
PPAP方式でデータ転送を行うのは、以下の問題点があり危険性が高いと言わざるを得ません。
- マルウェア感染に気づきにくい
- ネットワーク盗聴の危険性が高い
- ZIPの暗号強度が脆弱
- 送信者のケアレスミスが発生しやすい
マルウェア感染に気づきにくい
パスワード付きZIPを送信する手段は、メールが用いられることが多いでしょう。多くのセキュリティ製品では、自動で受信したメールのウイルスチェックを実施していますが、パスワード付きZIPの中身までは検知できません。セキュリティ製品のなかには、パスワード付きZIPを解凍する際に、中身のウイルスチェックを実施できるタイプもありますが、必ずしも全て対応しているわけではありません。つまり、パスワード付きZIPのマルウェア感染に気づかずに、パソコン内の情報が流出してしまう可能性が考えられるのです。また一度に複数人に送信するパスワード付きZIPがマルウェア感染していた場合、大規模な損害となる可能性もあり、非常に危険性が高いといえます。
同じ経路でメールを2度送信するためネットワーク盗聴の危険性が高い
PPAP方式は、1回目にパスワード付きZIPを送信し、2回目にパスワードを送付する方式です。そのため、同じ経路で2回送信することになり、その分ネットワーク盗聴のリスクが増大します。2回送信することで起きやすくなる漏洩のシチュエーションは以下の通りです。
- 1回目の送信の際にメール情報を盗聴され、2回目の送信が特定されやすくなる
- 2回とも誤った送信先に送付し漏洩する
PPAP方式は、同じ経路で送信するがゆえに、漏洩するシチュエーションも複数発生してしまうデメリットがあります。
ZIPの暗号強度が脆弱
暗号強度の観点では、ZIPは脆弱と言わざるを得ません。ZIPに用いられている暗号化方式のZipCrypto(Standard ZIP 2.0)は、システム開発が進んでいる関係で、パスワードの解析が成功しやすくなっています。そのため、単純なパスワードであれば短時間で突破されることも珍しくありません。さらに、ZIPはパスワードを何度でも入力でき、ロックがかからないため、総当たり攻撃による突破も防ぎにくいデメリットがあります。
送信者のケアレスミスが発生しやすい
PPAP方式は、2回送信する関係上送信者の業務負担が大きく、その分ケアレスミスが発生しやすい方法です。代表的な送信者のケアレスミスは以下の通りです。
- 送信先を間違える・漏れを起こす
- パスワード付きZIPを添付し忘れる
- パスワードを送付し忘れる
- 送付すべきパスワード付きZIPを間違えて、違うパスワード付きZIPを添付して送信する など
PPAP方式は手動かつ2回送信する特性から、ケアレスミスが発生する確率が高く円滑な業務進行に支障が出る方法といえます。
PPAPの代替案
PPAP方式に代わるデータ転送の方法は以下の通りです。
- クラウドストレージ
- ファイル転送サービス
- チャットツール
クラウドストレージ
クラウドストレージは、クラウドサーバー上でファイルのやりとりを行うため、そもそもメールを必要としません。そのため、メールの送信・添付漏れや送信先を間違えるなどのケアレスミスを防ぐことが可能です。また、セキュリティ面では、クラウドストレージ上にアクセスするユーザー・IPに対し、個別にアクセス制限をかけられます。クラウドストレージでは、アクセス権限以外にも多種多様なセキュリティ対策をベンダー側が施しており、総じてPPAP方式よりも強固なセキュリティの下でデータ転送が行えます。
ファイル転送サービス
ファイル転送サービスは、インターネット上にファイルをアップロードし、ダウンロードURLを取得します。ダウンロードURLをファイルの受信者に伝えることで、受信者がURLにアクセスし、該当ファイルをダウンロードする仕組みです。双方がインターネットを介して、ファイルのやりとりを行うため、メールには添付できない大容量ファイルを取り扱えるメリットもあります。しかし、ダウンロードURLを関係のない第三者に送信してしまうリスクもあるため、万全のセキュリティとはいえません。ファイル転送サービスを選ぶ際は、法人向けに強固なセキュリティが実装されているタイプを検討しましょう。
チャットツールを活用する
多くのチャットツールでは、ファイルを添付してチャットを送ることが可能です。プロジェクト・商談に関するコミュニケーションを取りながら、リアルタイムに資料・データを送信できるため、円滑に業務を進められます。添付できるファイルの容量も、ファイル転送サービスと遜色ないサービスも多く、利便性の高さも魅力です。またビジネスチャットツールにも、IPアドレス制限や端末認証機能、暗号化機能など、強固なセキュリティを実装したタイプもあります。
PPAP代替案として強固なセキュリティが特長の企業向けクラウドストレージ「Fleekdrive」
PPAP方式の代替案として、おすすめの方法が「クラウドストレージ」です。クラウドストレージを用いれば、そもそもクラウドサーバー上でファイルをやりとりするため、メールを使用せずに済むことが最大のメリットです。さらに、クラウドストレージ自体にさまざまなセキュリティ対策が施されていれば、より安全にやりとりを行えます。AWS環境を基盤とした強固なセキュリティ対策が備わっているのが、企業向けクラウドストレージの「Fleekdrive」です。Fleekdriveに備わっているセキュリティ対策は以下の通りです。
セキュリティ対策 | 概要 |
ウイルスチェック | ファイルのアップロード時に自動でウイルスチェックを実行する |
ファイル暗号化 | ファイルを暗号化して保存し、第三者が中身を利用できないようにする |
IPアドレス制限 | あらかじめ許可したIPアドレス以外のアクセスを制限する |
証跡機能 | ユーザーのログインからログアウトまでの挙動を全て確認できる |
アクセス制限 | ユーザーごとに細かくアクセス権限を付与できる |
さらに、Fleekdriveのアカウントを持たない方への共有方法「ファイル配信・公開スペース・共有リンク」の3つの機能で、パスワードを送信先に送らず、「パスワードメールを自分へ送る」という形で送信元に送ることができるようになりました。
上記の仕様により、セキュアにデータを授受することが可能です。安全かつ利便性の高い機能が数多く実装されているのが、Fleekdriveの最大の特色です。PPAP方式でのデータ転送は、セキュリティリスクが高いため、現代のビジネス環境では推奨されません。代替として、強力なセキュリティ機能を持つクラウドストレージ「Fleekdrive」の利用をおすすめします。本記事では、PPAPの危険性とFleekdriveの特徴について解説しました。 Fleekdriveの詳細や具体的な機能については、ぜひ無料トライアルをお試しください。