近年、PPAPのセキュリティリスクが指摘され、多くの企業で脱PPAPの流れが加速しています。これに伴い、安全なファイルの受け渡し手段として注目されているのがクラウドストレージのOneDriveです。本記事ではPPAPの問題点を考察するとともに、OneDriveでファイルを共有するメリットについて解説します。
PPAPの問題点
PPAPとは、メールでファイルを送受信する際に利用されるセキュリティ対策を指す用語です。具体的には、暗号化されたパスワード付きのzipファイルをメールで送信し、その直後に解除用コードを別送信するという方法を指します。ファイルとパスワードを別々に送信することで、メールの誤送信による情報漏洩や盗聴を防止するためのセキュリティ対策です。
PPAP方式によるメールのやり取りは、個人情報保護法が制定された2005年から2010年にかけて普及し、多くの企業や組織においてデファクトスタンダードになりました。しかし、PPAP方式による送受信には主に3つの問題点が存在します。それが「ウイルス感染のリスク」「メール盗聴のリスク」「受信者側の生産性低下」です。ここからはPPAP方式によるファイルの受け渡しに潜む3つの問題点について見ていきましょう。
ウイルス感染のリスク
1つ目の問題点はウイルス感染によるリスクです。企業にとって機密情報の管理は最も重要な経営課題のひとつであり、セキュリティ対策としてPPAP方式を取り入れる動機となります。しかし、暗号化されたzipファイルは、ウイルス対策ソフト自身もデータの中身を確認できず、危険性を判別できない可能性があります。そのため、安全性を考慮して導入したウイルス対策ソフトが有効に機能せず、感染リスクが増加するという結果を招くのです。
情報通信技術の発達に比例するかのようにウイルスやトロイの木馬、ワームといったマルウェアも年々高度化かつ多角化しています。たとえば、2014年に「Emotet(エモテット)」というマルウェアが世界的に大流行しました。その後、数年間はなりを潜めていたものの2019年になって再び猛威を奮い、Emotetに感染した首都大学東京のPCから1万件以上のメールが流出したという事例があります。時代とともに進化するウイルスに対し、PPAP方式で情報を守るのは困難になりつつあるのです。
メール盗聴のリスク
2つ目の問題点はメールが盗聴されるリスクです。PPAP方式ではメールを送受信する際にファイルとパスワードを別々に送付します。ファイルが添付された1通目のメールを誤送信されたとしても、パスワードを記載した2通目を受信しなければ添付ファイルを開けないため、情報漏洩を防げるという点が大きなメリットです。しかし、この手法はメールを自動的に送信するシステムであれば誤送信対策として機能しません。
また、2通とも基本的に同じメールアドレスから通信されるため、1通目のzipファイルが窃取された場合、同じ通信経路から送信されている2通目も同様に窃取されると考えられます。そもそも、別々にファイルとパスワードを送るといっても、同じメールアドレスからほぼ同時に送信される時点でセキュリティを担保できるとは言い難いのが実情です。
受信者側の生産性低下
2つ目の問題点はPPAP方式でメールの送受信を行う際の手間です。送信者はzip形式に変換したファイルを添付して1通目のメールを送信し、さらにパスワードを記載した2通目を送ります。そして、受信者はファイルが添付された1通目のメールとパスワードが記載された2通のメールを受け取り、パスワードを入力してロックを解除し、zipファイルを解凍する、というのがPPAP方式の基本的なやり取りです。
そもそもセキュリティの脆弱性が懸念されている上に、このような手間をかけたやり取りが必要なのでは不毛と言わざるを得ません。PPAP方式でのメールの送受信は余計な手間と負担を要し、業務効率や生産性の低下を招きます。また、スマートフォンはzipファイルを開封できない機種もあるため、互換性の低さも大きな問題点です。セキュリティや生産性、利便性や閲覧性など、さまざまな観点から見てもPPAP方式は時代遅れになりつつあるといえるでしょう。
脱PPAPが急務になっている理由
2020年11月に政府はPPAPを内閣府と内閣官房で廃止すると発表し、大きな話題となりました。そして、多くの企業が政府の方針に追随し、脱PPAPの流れが加速しています。なぜ、近年になって脱PPAPの流れが加速しているのでしょうか。その背景にある理由について見ていきましょう。ITベンダーも次々と脱PPAP宣言へ
近年、日立や富士通など、多くの企業が次々と脱PPAPを掲げています。特にその傾向が顕著なのがインターネットに造詣が深いIT業界です。もともと、有識者の間ではPPAPのセキュリティの脆弱性は指摘されていました。多くの企業がセキュリティ対策としてPPAPを実践していますが、その効果は極めて限定的であり、むしろセキュリティリスクを高める危険性さえあります。こうした事実が政府の発表によって多くの人々に知られるようになり、脱PPAPの流れが加速したといえます。
また、新型コロナウイルスの感染拡大の影響を受け、テレワークが増加したのも脱PPAPが急務となっている要因のひとつです。テレワークは新しい時代に即した働き方として注目を集めているものの、オフィス外で業務に取り組むため、セキュリティの脆弱性が懸念されるワークスタイルです。そのため、テレワークを導入している企業はセキュリティ強化の必要性に迫られており、その一環として脱PPAPが急務となっています。
脱PPAPを実現するOneDrive for Business
時代の潮流は脱PPAPの方向へと進んでいるものの、セキュリティを担保しつつファイルをやり取りするためには、他にどのような代替案が考えられるのでしょうか。その問いに対する答えは1つではなく、さまざまな方法が考えられます。現状、最もスマートかつ安全な方法として挙げられるのは、クラウドストレージによるファイルの共有です。
特にビジネスシーンにおいては、マイクロソフト社が提供する「OneDrive for Business」がベストプラクティスといえます。OneDriveには複数のプランがあり、法人企業向けプランとして提供されているのが、OneDrive for Businessです。PCやスマートフォン、タブレットなど、デバイスを問わずファイルの共有が可能であり、Office系アプリやTeamsといったマイクロソフト製品との連携機能も充実しています。
OneDrive for Businessでファイルを共有するメリット
OneDrive for Businessでのファイル共有は、クラウド上に保存されたファイルへアクセスするURLを発行し、共有したい相手にURLを通知するという方法で行われます。zip形式に変換したり解凍したりといった作業が不要になるため、送信者と受信者の双方にとってメリットのある方法といえるでしょう。ファイルが更新された場合の再送も不要になるというのも大きなメリットです。
また、メールでのファイル送信は容量に気を配る必要がありました。OneDrive for Businessであれば、ファイルが重すぎて送受信できないという事態に陥ることはほぼありません。ファイル共有に関する権限設定機能なども備えているため、セキュリティにおいても高い堅牢性を誇ります。脱PPAPを実現するためにも、OneDrive for Businessの導入を検討してはいかがでしょうか。
まとめ
企業にとって情報管理の最適化は最も重要な課題のひとつです。情報漏洩インシデントは企業が積み上げてきた社会的信用の失墜を招くだけでなく、損害賠償請求や取引停止といった大きな損害をもたらす可能性があります。企業にとって重要な資産である情報を守るためにも、脱PPAPは焦眉の急を要する経営課題といえるでしょう。