PPAPとは、セキュリティ対策を施したファイル共有方法の一種です。PPAPでは、パスワード付きZipファイルを使って相手とファイルを共有します。

ビジネスにおいて長らく使われてきたファイル共有方法ですが、近年はセキュリティ対策として有効ではないとの声が上がっています。「PPAP問題」とは、そういったPPAPによるファイル共有の問題点が指摘され、浮き彫りとなったものです。

本コラムでは、PPAP問題の概要や、PPAPが抱えるセキュリティ上のリスクを解説します。また、PPAPに代わるファイル共有方法もご紹介。PPAP問題に関心のある方は必見です。

PPAP問題とは

まずそもそもPPAPとは、パスワード付きZipファイルを活用したファイル共有方法のことです。

PPAPでは、相手に送信するZipファイルにパスワードを設定し、メールでそのファイルを送ったあと、解凍用のパスワードを記載したメールを別送するという方法で相手にファイルを共有します。

一連の流れに関する事柄を英語・ローマ字で表したときの、それぞれの頭文字を取って「PPAP」と呼ばれています。

【 PPAPの流れ 】
P:パスワード付きZip暗号化ファイルを送信する
P:パスワードを送る
A:暗号化
P:プロトコル(『手順』という意味の英語)

PPAPは実はセキュリティリスクが高いことが判明。政府が利用廃止を宣言

取引先にドキュメントを共有するときなど、ビジネスでの安全なファイル共有方法として、PPAPは長らく使われてきました。

しかし近年は「セキュリティリスクが高い」としてPPAPを廃止する企業が増加しています。

2020年11月には、政府機関がPPAPの廃止を宣言*。この流れは民間にも波及し、日立製作所やNTTデータなどいくつかの大手ITベンダーがPPAPの廃止をアナウンスし**、PPAP問題へと発展していきました。

* 内閣府|平井内閣府特命担当大臣記者会見要旨 令和2年11月24日
** 日経クロステック|日立も「脱PPAP」、大手ITベンダー10社で残るは3社

PPAPが抱えるセキュリティリスク

セキュリティ対策の有効な手段として長らく重宝されてきたPPAPですが、いまとなってはむしろセキュリティリスクが高いとされています。

それはなぜなのでしょうか? 実は、PPAPはセキュリティの観点から多数の問題を抱えたファイル共有方法なのです。PPAPが抱えるセキュリティリスクについて、代表的なものを3つ紹介します。

①暗号のセキュリティ性が低い

まず1つ目は、暗号のセキュリティ性が低い点です。PPAPで送られる暗証番号付きのファイルは、「パスワードを知っている人しか開くことができない」という前提からセキュリティ対策において有効であるとされてきました。

しかし実は、この暗証番号はパスワード解析ツールを用いることで比較的簡単に解除が可能であり、IT技術が発達した近年ではパスワード解析ツールの入手も容易になってきています。パスワードを知らない人間でも簡単に開けてしまうのでは、そもそもの前提が成立しません。したがってPPAPの暗号は決してセキュリティ性が高いとはいえないのです。

②マルウェア感染のリスクがある

2つ目は、マルウェア*感染のリスクがある点です。業務で利用するPCに、ウイルス対策ソフトをインストールしている企業は多いのではないかと思います。例えば、メールに添付されたファイルがマルウェアに感染していた場合、この対策ソフトが働くことで端末への感染を未然に防ぐことができます。

しかし暗号化されたZipファイルの場合、ウイルス対策ソフトがマルウェアを検知できず、すり抜けてしまう恐れがあるのです。ウイルスに感染するとPCや共有フォルダ内のさまざまなデータを盗み見されてしまう危険性があります。つまり、セキュリティ対策のために実施しているPPAPが、かえって情報漏えいを招くウイルス感染のリスクを孕んでいるということです。

*マルウェアとは:悪意あるプログラムやソフトウェアの総称

③ヒューマンエラーに弱い

3つ目は、ヒューマンエラーに弱い点です。PPAPはパスワード付きZipファイルと解除用パスワードをそれぞれ別のメールで送ることで、セキュリティリスクの回避を試みます。

しかしユーザーがメールの宛先設定を間違えると、簡単に情報が流出してしまう恐れがあるのです。1通目で宛先を間違えてしまった場合、パスワードを記載した2通目も同様の間違った宛先に送ってしまう可能性は高く、この場合においてZipファイルとパスワードを別で送ることは対策として何の効果も期待できません。

また、例えZipファイルのみが誤送信されたとしても、先述したように暗証番号付きZipファイルは解析ツールで簡単にパスワードを解除されてしまう恐れがあります。このようにPPAPは、「人為的なミスに対応できない」という点でセキュリティ上の課題を抱えているのです。

PPAPの業務課題「スマホで開けない」

先ほどはPPAPにおけるセキュリティリスクについて解説しました。実は、PPAPはセキュリティ面だけでなく実際の業務においても、ある問題を抱えています。それは、「Zipファイルを開ける端末が限られていること」です。

IT技術が著しく発達した現代社会では、スマートフォンやタブレットを活用して仕事を進める企業が年々増えています。皆さまの中にも、移動中の電車内や外出先のカフェで、小型デジタル機器を使ってメールチェックなどの業務をこなしているという方は多いのではないでしょうか。

パスワード付きZipファイルは、使用しているデバイスによっては開けない場合があります。この事象はスマートフォンを使う場合によく見受けられ、PPAPによるファイル共有が、ITツールの有効活用においてひとつの障壁となってしまう恐れがあるのです。

脱PPAPにはクラウドストレージ!

脱PPAPを実現するためには、PPAPに代わるファイル共有手段を確立する必要があります。その代替手段のひとつとして注目されているのが、「クラウドストレージ」です。

クラウドストレージはファイルサーバーの一種で、ベンダーが提供するファイルストレージをインターネットを介して利用します。ベンダーのシステムを借りて使用するサブスクリプション形式のため、従来のビジネスで主流とされてきたオンプレミス型(自社専用に構築したファイルサーバー)に比べて手軽に導入できるほか、運用が簡便という点が主なメリットです。

クラウドストレージがなぜ脱PPAPに有効か?

なぜクラウドストレージが脱PPAPに有効な手段として注目されているのでしょうか。その理由は、大きく分けて2つです。1つは、セキュリティを維持したファイル共有が可能なこと。もう1つは、さまざまな業務の効率化に役立つためです。それぞれについて解説します。

①セキュリティを維持したファイル共有

クラウドストレージでは、「ファイルを保管した場所のURLを相手に伝える」という方法でファイル共有を行います。PPAPはメールを使って直接相手にファイルを送りますが、クラウドストレージでは「ファイルを送る」のではなく、「ファイルの保管場所を伝える」という方法でファイルを共有するのです。

そして、そのファイルの保管場所にはさまざまな「制限」を設けることができます。IPアドレスや利用端末を許可条件とした「アクセス制限」や、ファイルのダウンロード期間を設定できる「ダウンロード制限」など、ファイルの取り扱いに関してさまざまな制限を課すことが可能です。

また、この機能とは別に「アクセスログの管理」が行える点も、クラウドストレージがセキュリティ対策に有用といえるひとつの理由です。不正アクセスが起きたとしても管理者側でその履歴を把握できるため、被害を小さく抑えることができます。

これらの機能を活用することで、ファイル共有におけるさまざまなセキュリティリスクを回避することができるのです。

②業務効率化

クラウドストレージは業務効率化にも効果が期待できます。インターネットとデジタルデバイスさえあれば、いつでも・どこからでもファイルストレージにアクセスできるためです。

先に解説した通りPPAPでは、端末によってはZipファイルを開けない場合があります。そのため「スマートフォンから添付ファイルを確認できない」という業務上の課題が発生する恐れがありました。

その点、クラウドストレージであれば、多くのサービスがマルチデバイスに対応しているため、端末の制限なく利用が可能です。「外出先からスマートフォンやタブレットを使って、ファイルをチェックする」といった運用が行えます。従業員は使う端末に左右されることなく、自身の環境や状況に合わせて業務を遂行できるので、より効率的な働き方の実践に有効です。

クラウドストレージによるPPAP対策の流れ

クラウドストレージを活用したファイル共有の流れを解説します。

STEP①共有したいデータをクラウドストレージに保管

まず始めに、相手に共有したいデータファイルをクラウドストレージのフォルダに保管します。社内用のフォルダに保管すると、万が一設定を誤ったときに他のデータまで相手に見られてしまう可能性があるので、社外の人間とファイルを共有するための専用フォルダを作るのがいいでしょう。

なお、これまでクラウドストレージを活用しておらず、PPAP対策の一環として導入する場合、いきなりすべてのデータをクラウドストレージに移行することは現実的ではないため、情報の種類に応じて、従来の管理方法(社内ファイルサーバーなど)とクラウドストレージを使い分けるのがおすすめです。

STEP②アクセス制限を設定

次にフォルダまたはファイルに対して、アクセス制限を設定します。クラウドストレージはファイルの保管場所のURLを相手に伝えることでファイルを共有します。アクセス制限を設定しないと、このURLを知っている人は誰でもファイルにアクセスできてしまうため、情報保護のためにもアクセス制限は必ず設定しましょう。

アクセス制限の種類は、製品によってさまざまです。例えば、「管理者側でIDを発行し、認証したユーザーのみアクセスを許可する」「IPアドレスを制限し、指定した環境からのみアクセスを許可する」などの機能が挙げられます。会社のセキュリティポリシーに適した運用を行える製品を選択することが大切です。

STEP③操作権限を設定

アクセス制限の設定と同じタイミングで、フォルダやファイルの操作権限も設定しておきます。クラウドストレージ上ではファイルの取り扱いに関して、閲覧や編集、コメント、ダウンロードなどさまざまな操作を実行可能です。

これらの操作に対してユーザーごとに権限設定を行うことで、予期せぬドキュメントの改変といったトラブルを回避できます。

STEP④保管場所のURLを相手に送信

専用フォルダにファイルを保管し、アクセス制限や操作権限の設定が完了したら、相手に保管場所のURLを送ります。送信手段はメールやチャットといったコミュニケーションツールを活用するのが一般的です。

法人向けクラウドストレージ「WPS Cloud Pro」

キングソフト、法人向けクラウド型オフィス『WPS Cloud Pro』を12月9日リリース

WPS Cloud Proは、PPAPの代替手段として使える法人向けのクラウドストレージサービスです。ビジネスでも安心してお使いいただけるように、法人向け製品としてさまざまなセキュリティ機能を搭載しています。WPS Cloud Proのセキュリティ機能をいくつかご紹介します。

通信が暗号化されている

WPS Cloud Proのデータは、日本国内にあるAWSデータセンターに保管されています。AWSサーバーとお客様の端末の通信は「TLS」によって暗号化されているため、通信内容のセキュリティを維持した状態で、安全にクラウドストレージをご利用いただくことができます。

アクセスログを確認できる

ドキュメントの操作ログ画面

WPS Cloud Proでは、管理者がクラウドストレージ上のアクセスログや操作履歴を確認することができます。「不正アクセス」や「誤送信などの人為的ミス」が発生した場合でも、管理者側で速やかに状況確認を行えるため、トラブルの状況に応じた適切な対処を迅速に実行できます。

アクセス制限や操作権限を設定できる

ドキュメントの権限設定画面。細かくカスタム可能

WPS Cloud Proではフォルダやファイルに対し、さまざまなアクセス制限や操作権限を設定可能です。IPアドレスや端末を許可条件としてアクセス制限を設定したり、ファイル操作に関して特定のユーザーは閲覧しかできないようにしたりといった設定が行えます。企業のセキュリティポリシーに応じたクラウドストレージ運用を実現していただけます。

WPS Cloud ProでPPAP問題を解決!

ファイル共有は企業活動を行う上で欠かせない作業のひとつです。その中でPPAPはセキュリティ対策の一環として長らく重宝されてきましたが、近年はむしろセキュリティリスクが高いとされ、脱PPAPを掲げる企業が増加傾向にあります。

脱PPAPには、クラウドストレージの活用が有効です。セキュリティを維持したままファイル共有を行うことができ、マルチデバイスで使えるため業務効率化やITツールの有効活用にも効果が期待できます。

WPS Cloud Proは法人向けのクラウドストレージサービスです。通信の暗号化やアクセスログの取得管理、アクセス制限や操作権限の設定など、セキュリティを保つための機能を豊富に搭載。安心安全なファイル共有に活用いただけます。ご興味をお持ちいただけた方は、ぜひこの機会に製品資料をダウンロードください。導入のご相談もお問い合わせフォームより随時承っております。