脱PPAP後、資料・データの共有はどうする? ー安全と利便性を担保できる方法を探るー
資料やデータを共有する場合、PPAPがセキュリティ対策の定番として広く活用されてきました。しかし、その脆弱性が問題となり、多くの企業や組織、団体において脱PPAPの動きがみられます。その動きのきっかけは政府がPPAPのセキュリティレベルを問題視し、廃止したことです。では、PPAPに代わる資料・データの共有方法として、なにを導入すべきなのか。今回は PPAPが問題視されている点を振り返りながら、脱PPAPを進める際の注意点や検討すべき代替案 についても紹介します。
PPAPがなぜ使えないのか
まず、PPAPがなぜ問題視されているのかを振り返ってみましょう。
PPAPとは、 パスワード付きの圧縮ファイル(zip形式)によってメールを送信し、相手とファイルを共有するための方法 です。多くの場合は、メールを相手に送る際に、パスワードをかけた圧縮ファイル(zip形式)を添付し、別のメールでファイルを開示させるためのパスワードを知らせる、というものです。名称になっているPPAPはパスワード(Password)付きzip、パスワード(Password)送信、暗号(Angou)化、プロトコル(Protocol)の頭文字から名付けられたものです。
このPPAPの問題点とはどこにあるのでしょうか。
巧妙なサイバー攻撃に対応できない
サイバー攻撃は複雑化し、高度化しています。セキュリティを強化しても、いたちごっこになり、情報漏洩やハッキングなどの事件は後を絶ちません。zipファイルを添付し、PPAPを利用したメールになりすまして、ウイルスに感染させようとするケースも散見されます。取引先とのやり取りや、社内での情報共有において、PPAPの活用があたりまえになっている場合、ウイルス拡散の危険性も危惧されます。
パスワード入力回数が無制限
PPAPを利用したパスワード付きzipを解除するにはパスワードを入力します。しかしそのパスワードは、何度でも入力が可能です。言い換えれば、パスワードを知らなくても、無限に英数字や記号との組み合わせを試して、パスワードを探し当てることができるのです。これではパスワードで守られているとは言い切れません。
誤送信のリスク
PPAPはパスワード付きzipファイルとパスワードを別便で送るとはいえ、多くの場合、同じネットワークを利用して送ります。その際、相手のメールアドレスを間違って送信すれば、共有すべき資料・データも、パスワードも第三者に誤送信されることになります。人的ミスによって情報漏洩がおきやすい状況が存在すると言えるでしょう。
※PPAPの問題点についての詳細は以下の記事も参考にしてください。
「PPAPはなぜ問題視されるのか。原因と代替案について」
https://www.nttdata-kansai.co.jp/media/012/脱PPAPで押さえておきたい「安全性」と「利便性」
脱PPAPに取り組む場合、重要なのが「安全性」と「利便性」です。詳しく確認しておきましょう。
安全性の高さ
相手と資料・データを共有するために活用するものであり、頻繁に使う可能性が高いため、情報セキュリティリスクへの対策が取りやすい方法でなくてはなりません。
また、PPAPで問題視されている誤送信のような人的ミスが発生しにくいものであることも重要です。さらには、資料・データを紛失しにくい環境が構築でき、資料・データを作成した際の履歴が残るものなどといった機能が必要になるでしょう。
利便性の良さ
人的ミスが防ぎやすく、資料・データそのものも安全に保存できる機能が充実することで、安全性は高められますが、利便性が低くては意味がありません。誰もが使いやすく、面倒な作業がないものでなければ、導入しても使用されなくなる可能性があります。
また、取引先も面倒な導入手続きなしに利用できる方法であることが必要です。
PPAPに代わるシステムの導入事例
脱PPAPのポイントを踏まえ、何がPPAPの代替となるのかを考えると、いくつかの方法が浮かびます。その代表的なものを確認してみましょう。
クラウド型ストレージを使う
クラウド型ストレージというのは、インターネット上にデータを保存するスペースを設定し、そこに保存したい資料やデータをアップロードしておく方法です。
多くはIDとパスワードによって設定したクラウド型ストレージへのアクセスが可能になります。アクセス権限を利用者ごとに管理することも簡単に行えるので、安全性も担保できます。ただし、クラウド型ストレージを設定する場合は、厳格なセキュリティ対策が取られているものを導入することが前提です。
クラウド型ストレージの利用は、 共有したいデータが発生した都度、メールで相手に送るのではなく、最初にクラウド型ストレージ内に共有する格納場所を決めておき、そこへのアクセス権限をお互いが所有することで、いつでも情報共有ができるので、メールの誤送信や情報漏洩の危険性を抑えられます。
先述のことから、時間や場所に縛られない働き方環境を構築している企業においては、社員同士が協働するための情報共有手段としても有効に活用できます。
ただし、クラウド型ストレージを利用した添付ファイルの送信は、送信のオペレーションが煩雑になるといった課題もあります。このような課題解決に、NTTデータ関西は クラウド型ストレージとメールソフトを利用した添付ファイル送信の効率化を図り、かつ、誤送信防止にも対応できる連携アドインツール「bAudit」を提供しています。 こうしたツールの活用によって、人的ミスの発生を抑えながら、安全にデータ共有が可能になるでしょう。
https://www.bizxim.com/lp/b-audit.htmlファイル転送サービスを使う
ファイル転送サービスというのは、ファイル転送サービス用のWebサイトにアクセスをして、相手に送りたいファイルをアップロードすると、ダウンロードするためのURLが発行され、そのURLが相手に送信されるというシステムです。メールでは添付して送れないような大容量のデータであっても送ることが可能になります。
また、セキュリティの高いファイル転送サービスでは、サーバーへの不正アクセスを防止する対策が取られていたり、ファイルを受け取る側がファイルをダウンロードする期間や回数、パスワードを入力する仕組みなどを制限する機能、ダウンロード履歴を管理できる機能などが設定されていたり、より安全にファイルを送ることができます。
両者の違いを知って使う
クラウド型ストレージとファイル転送サービスとの大きな違い は、大きく2点あると考えられます。
- 共有ファイルの保存期間
- ファイル転送サービスは、共有するためにアップロードしたファイルの保管に期限があります。その期限内に相手がダウンロードしなければ情報共有はできません。一方、クラウド型ストレージは、 情報提供側(クラウドストレージを設置した側)が相手へのアクセス権や編集権を設定できるため、情報共有を許可している間は相手側もいつでも保存されているファイルにアクセスが可能 で、共有したいときに、お互いが利用できます。
- 自社のファイルストレージに社外の人を招くリスク
- クラウド型ストレージは、共有したいファイルへのアクセス権や編集権を相手に与えている限り、 いつでも相手はそのファイルへアクセスが可能 です。 迅速な対応が必要な場合などにはかなり有効な情報共有方法 だと言えるでしょう。しかし、アクセスできるファイルが決まっていて、アクセス権についても管理をしているとは言え、他の重要データも保管されているストレージに社外の人がアクセスする状況となり、リスクがないとは言えません。
一方、ファイル転送サービスは、インターネット上でファイルをアップロードして、相手にURLを知らせて、相手にダウンロードしてもらう仕組みです。相手には自社のストレージや他の重要データへアクセスする機会がないので、自社が保存している他の資料やデータの安全は確保されていると言えます。
そのあたりの違いを理解したうえで、どちらを活用するのか、使い分けるのかを検討する必要があります。
まとめ: 脱PPAPを迅速に確実に進め、作業効率向上をめざす
多くの取引先や社内においても部署をまたいだ業務を行うことが多い企業においては、安全に、確実に情報を共有することは必須です。また、資料・データを安全に送ったり受け取ったりする頻度は、今後ますます多くなるでしょう。こうした場合、資料・データなどの情報共有がスムーズにできない環境では、作業効率の向上は望めません。
さらに、PPAPを使っている状況が続けば、情報漏洩やウイルス感染の拡大など、社会的な信用を損なう事態を招きかねません。脱PPAPへの取り組みは急務とも言えるのです。
脱PPAPに対応するポイントは安全性が担保されていることと、利便性が良い方法を選択する ことです。クラウド型ストレージを用意するのか、ファイル転送サービスを選択するのか、また業務によって情報共有方法を複数手段から選択できる環境を整えるのかなど、最適解は企業規模、ファイル共有の必要頻度などによって異なります。専門知識と事例をいくつも所有している企業に相談することも視野に入れた検討をすすめましょう。