脱PPAP！代替ツールを考える際に気をつけるべきポイント

あらゆる企業・組織で次々と廃止されていく「PPAP」。今、その流れに追従しようと代替案を検討されている方が増えています。
メール容量の圧迫を防ぐために添付ファイルを圧縮する習慣が馴染んだものの、メールに使用されるプロトコルであるSMTPの暗号化が進まないことでセキュリティ面で課題が残るために、圧縮ファイルにパスワードをつけるPPAPが一般化しました。
長きにわたり、多くの企業・組織で利用されてきたPPAP。今回は、そのPPAP脱却の流れについておさらいしながら、代替ツールを考える際に気をつけるべきポイントをご紹介します。

目次・PPAPとは？なぜ廃止されるのか
・徐々に広がる代替ツール
・安易なストレージ利用もセキュリティリスクの元。気をつけるべきポイントは？
・安心してストレージやチャットツールを使用するには
・まとめ

PPAPとは？なぜ廃止されるのか

PPAPとは、各種データをパスワード付きZip圧縮ファイルとして添付し、メールを送信。その後パスワードを別途メールで送信することを指します。この一連の手順の頭文字をとってPPAPと呼ばれています。

・「P」assword付きZip暗号化ファイルを送ります
・「P」asswordを送ります
・「A」ん号化（暗号化）
・「P」rotocol（プロトコル）

以前からPPAPにはセキュリティ面などの懸念があり問題視されていた背景から、2020年末に内閣府と内閣官房での利用が廃止され話題となりました。これを皮切りに、ベンチャー企業から大手IT企業に至るまで、さまざまな組織が「脱PPAP」に乗り出しています。
プライバシーマーク制度を運営する日本情報経済社会推進協会（JIPDEC）も「メール添付のファイル送信について」と題したお知らせを同年に公開し、"個人情報の漏洩を防げないこと等から、従来から推奨しておりません"と、PPAPに警鐘を鳴らしています。

【PPAPの主な問題点】

■Zip暗号化ファイル内のウイルスチェックができない
暗号化されているファイルの中身はマルウェアなどが含まれていても検知することができません。また、PPAPが当たり前の状態だと、暗号化したファイルをメール添付して送信されるEmotet（エモテット）などのマルウェアが送られてきた場合に、疑いなく開封してしまう可能性が高くなります。

■Zip暗号化ファイル、パスワードともに盗聴される可能性がある
ファイル、パスワードを別々に送信したとしても、両方のメールを第三者に盗聴された場合、暗号化の意味をなさずデータの流出を防ぐことができません。またファイルのみ盗聴された場合でも、パスワード入力は何度も試行できるため突破されてしまう可能性があります。

■誤送信対策にならない場合がある
PPAPを自動化するための多くのソリューションは、添付ファイルを自動で暗号化し、同時にパスワードも自動送信するため、宛先を間違えた場合は誤送信対策になりません。手動で別送する場合も同様の可能性があります。

徐々に広がる代替ツール

PPAPの代替案としては「クラウドストレージ」「チャットなどのコミュニケーションツール」「STARTTLSなどのメールサーバー間のセキュリティ対策」「S/MIMEなどの電子署名」などがあげられます。
しかし、それぞれの方法ごとにセキュリティリスクが残る、汎用性が低いなどの欠点があることは留意したいポイントです。
脱PPAPを目指す企業は、ファイルをやり取りする方法の変更だけではなく、現状やリスクを把握したうえで、自社の運用に即した対応を検討する必要があります。

その代替案のなかでも、内閣府で採用されたストレージサービスの利用は、比較的汎用性が高いため、一般企業でも普及が進んできています。

安易なストレージ利用もセキュリティリスクの元。気をつけるべきポイントは？

汎用性が高いとはいえ、ルールも定まらないまま社員各々が安易にストレージサービスを使用するのは問題です。在宅勤務をしている方が多い現在では特に、目の届かないところでの情報漏洩が起こりかねません。特に個人利用を目的としたフリーサービスの利用には注意が必要です。

代替ツールの運用を開始する際には、企業としてのルールを明確にし、周知徹底することが重要になります。加えて、利用状況をログなどで把握し、誤った利用などがあれば是正できる体制がとれれば理想的でしょう。
誰もがオンラインで気軽に利用しやすいストレージサービスやチャットなどのコミュニケーションツールは、企業で認めていないものを社員が勝手に利用している「シャドーIT」となりやすいです。知らぬ間に収拾がつかなくなる、といった状態にならないように、早めに調査・対策をおこなうことをおすすめします。

安心してストレージやチャットツールを使用するには

現状を把握するためには、PCの利用状況を客観的に確認することができるログの取得が必要です。ログを取得することで、誰が・いつ・どのようにツールを利用しているのか確認できます。
ここからは、参考としてIT資産管理ソフトSS1で具体的にどのようなログを取得できるかなど、PPAPの代替ツールを利用する際に役立てられるポイントをご紹介します。

■ストレージサービス利用について

SS1では、どのようにストレージサービスが利用されているか、ログで確認することができます。OneDrive／Googleドライブ／Dropboxなどのサービスに対応しており、ファイルアップロード状況の把握や制限・注意喚起がおこなえます。
例えば、PPAPを廃止してストレージサービスの利用を推進する場合、指定したサービスがルール通りに使われているかといったチェックにも活用できます。

■チャットなどのコミュニケーションツール利用について

SlackやチャットワークなどのコミュニケーションツールはWebブラウザ版・ソフトウェア版が用意されているケースが大半ですが、SS1ではいずれの形態でも使用制限を施すことができます。シャドーITの監視、社内環境の統一といった観点からも非常に有効です。

まとめ

今回は、脱PPAPについておさらいしながら、代替ツールとなるサービスの導入を考える際に気をつけるべきポイントをご紹介しました。
まずは自社の実態に即した代替ツールの検討、ルール作りからはじめましょう。そのルール策定時の現状把握や、PPAP廃止後の運用チェックに、ログの活用は欠かせませんので、クライアントPCのさまざまなログをまとめて収集できる、IT資産管理ソフトSS1を利用すれば安心です。
お役に立てることがあれば、下記よりお気軽にお問い合せください。

●SS1に関するお問い合わせはこちら
●ストレージサービスやWebブラウザ閲覧の把握・制限の詳細はこちら
●インストールソフトの把握・制限の詳細はこちら