社内で脱PPAP方法について検討してみた！

2022年8月4日 09:57

こんにちは。ソシオネットのサバンナです。
社内ヘルプデスクを担当した際に、こんなお問い合わせがありました。

問い合わせ内容
「現在、社外へファイル送信をする際にOneDrive上で外部用フォルダを作成し、メールにてリンク共有をする形でファイル連携を行っていますが、リンク共有時にアクセス用のパスワードもメール内に記載しているのが実情です。「特定のユーザーのみに共有」を使っての設定もありますが、何かしら運用上の理由で対象外としているようです。（本来のPPAPの姿になるよう）他の脱PPAPの方法がないか運用方法をご検討いただけると助かります」

「運用の検討は、うーん、ちょっと難しそう、、、」
「PPAPとはなんのことだろうか？」

ということで、社内で何故OneDrive上の「特定のユーザーのみに共有」を使っての設定が、なぜ運用上の理由で使えないのか、他に脱PPAPをする方法があるのか？そもそもPPAPとはなにか調べてみました。

PPAPとは、どんなものなのか？

「Password付きZIPファイルを送ります／Passwordを送ります／Ango（暗号）化します／Protocol（=手順）」の略とされています。つまり、パスワードを設定して暗号化したZIPファイルをメールに添付して送信する方法です。

なぜPPAPを脱しなくてはいけないの？

ファイルをメールにて送付し、パスワードをかける方法はなぜ使用されなくなったのか理由を調べてみました。

理由１．受信者側に負担がかかってしまう

パスワード付きZIPファイルを受信すると、受信者側でファイルごとに設定されたパスワードを管理する必要があります。
また、ファイルを開く毎にパスワード入力をする手間もかかり、受信者の生産性に影響が出てしまっているということもあります。

理由２．パスワードの盗聴リスク

PPAPでせっかくファイルを暗号化してメールで送ったとしても、そのパスワード自体はメールに平文で書かれています。
メール本文は通信間で暗号されるとは限らないため、盗聴者はパスワードを容易に把握することが可能です。

理由３．暗号強度の問題

ZIPファイルの作成時に使用される暗号化方式の多くはそれほど強度が高くないため、一定の知識がある盗聴者であれば専用のソフトを用いて簡単に解読できてしまいます。

理由４．ウィルス対策ができない

仮に添付ファイルがウィルスに感染していた場合に、対策ソフトがパスワード付きZIPファイルのウィルスチェックをできず、感染を見逃してしまうリスクがあります。そのため、PPAPが常態化したやり取りを行っている企業がサイバー攻撃の対象になるケースも多くなってきており、その対策としてパスワード付きZIPファイルを受信不可にしている企業も増えてきています。

このようなことから、デジタル庁からも発表があったようにPPAPの使用を廃止する方針が広まっているのが理由でした。

脱PPAPをする方法として、OneDriveを使用してで共有した場合はどうなるか？

OneDrive上でファイルを共有したいと思った場合、そのファイルのリンクの共有方法は４つあります。共有方法の違いについては、Microsoftサポートの「OneDriveのファイルとフォルダの共有」に記載されておりました。

４つの共有方法がある中で、［特定のユーザー］を使用することを弊社では運用上使用しないとありましたが、その理由は「権限管理者が都度権限の承認をするのが大変なので、弊社としては使用は認めていなかった。」ということでした。

確かに、急ぎでファイルを共有したいのに管理者がすぐ承認できる状況にないと、時間も手間もかかりますね。

脱PPAPをする他の方法があるか調べてみた

１．クラウドストレージサービスを使う

Googleドライブ、OneDrive、BOXなどのクラウドストレージを用いて、送りたい暗号化ファイルに1対1で対応したランダムな共有リンクを生成して、相手にメール等で送るという方法です。
ただしこのやり方の場合は、解凍パスワードはメールに記載して送ることになるので、あまりセキュアな方法とは言えません。
（常々やり取りする相手であれば、使用するパスワードのルールを事前に決めておくこともできると思いますが、都度送信の場合は難しいと思います。）

２．チャットツール（Teams・slack・Chatworkなど）を使用する

チャットツールを使用して、相手にファイルを直接送る方法です。
ただし、相手が同じチャットツールを使用している場合のみ可能となるやり方のため、使える状況は限られると思われます。

３．専用のファイル転送サービスを使用する

「クリプト便」「HENNGE Secure Transfer」など、専用のファイル転送サービスを利用して、相手にファイルを送る方法です。
こちらはサービス提供事業者によりセキュリティが担保されており、また、送信可能な相手も限定されませんが、一方でサービスを利用するための費用が発生するのが難点です。

上記の通り、脱PPAPを実現するための案にはそれぞれ一長一短があります。
社内ヘルプデスクの質問に対して上記の内容を回答したところ、弊社にふさわしい脱PPAPの運用方法について今一度検討するという結論に至りました。

今回、この記事が少しでも皆様の脱PPAPに対する取り組みのきっかけや参考になれれば幸いです。

◆ソシオネット株式会社について◆
弊社では、Salesforceの運用・導入、および、DX化推進に関するご相談を承っております。
お気軽に弊社お問い合わせサイトより、ご相談などをお寄せいただければと思います。
ソシオネット株式会社ホームページ：https://socionet.co.jp/dx-supporters
お問い合わせ：https://socionet.co.jp/contact/

View this post on Instagram

A post shared by ソシオネット株式会社 (@socionet_official)

この記事が参加している募集

企業のnote

with note pro

11,468件

この記事が気に入ったらサポートをしてみませんか？