「PPAP」は危険?その問題点と代替手段をIT担当者に聞く
企業にとって、取引先などと重要なファイルを共有する際に情報漏洩を防ぐことは、取引上の機密を守るためにも不可欠です。そのための漏洩防止策の一つとして、メールを使ってパスワード付きzipファイルを送信して、その後、別のメールでパスワードを送信し、ファイルを共有する方法(=PPAP)が広く採用されていますが、実はこれセキュリティ的にほとんど意味がないということをご存知でしょうか?
medibaでも業務で使用するメールアカウントにおけるパスワード付きzipファイルの利用をすでに廃止し、情報セキュリティをより一層強化しています。そこで今回は、総務部ITサービスグループの渡邉恭平に、パスワード付きzipファイルを送ることの問題点や代替となる手段について話を聞きました。
パスワード付きzipファイルの問題点
――パスワード付きzipファイルの利用を廃止したのはなぜですか?
渡邉 一番の目的はセキュリティ強化です。社外からパスワード付きzipファイルが送られてきた経験がある方も多いと思いますが、最近は添付ファイルを介してウイルスに感染させる手口が増加していて問題視されています。パスワードがかかっていなければメールサーバー側で添付ファイルをスキャンしてウイルスチェックが行えるのですが、パスワードがかかっているとこれらをすり抜けてメールが届いてしまうのです。ですので、パスワード付きzip以外の方法で安心してファイルを送受信できる状況を作ることが必要でした。
――パスワードを付けることが逆効果になっているのですね。
渡邉 それに、一般的に使われているパスワード付きzipファイルの暗号強度はそれほど強くなくて、簡単に解読できてしまうようなものなんです。パスワードが記載された2通目のメールを送ってしまった後に誤送信だと気づく場合もあるでしょうし、こういったことからパスワードをかけていてもセキュリティ的にはほぼ意味がなく、廃止に踏み切りました。
安全にファイルを共有するためには
――そうなると、PPAPの代替となる手段が必要です。
渡邉 パスワード付きzipファイルの受信は、TeamsやSharePointなど、セキュリティの確保と利便性の両立が可能なクラウドサービスに移行しました。送信者がファイルをクラウドストレージにアップロードすることで、共有メンバーはファイルをダウンロードすることができるというものです。例えば、Teamsにはアップロードしたことをメールでお知らせしてくれる便利な機能があったり、ファイルに間違いなどが見つかった場合も簡単に差し替えることができます。
――クラウドサービスを使用していない会社もありますよね?
渡邉 先ほどのクラウドサービスの話は、medibaがファイルを受ける時の話で、もちろんこのクラウドサービスを使ってファイルを送ることもできるんです。ただ、クラウドサービス自体を会社のポリシーで使えない会社もありますので、メールだけでも送れるように添付ファイルのウェブダウンロード機能も使えるようにしています。これは、送信者が普段通りメールを送るとサーバーを介してダウンロードURLがついたメールが相手に送られ、再度送信者からパスワードを送ることで受信者は管理画面からダウンロードができるというものです。管理画面に一回入れることでウイルスチェックもされる仕組みなので、安心してファイルを送ることができます。
大きなトラブルもなく施策を実施
――社内での調整にあたり苦労したことはありましたか?
渡邉 メールのままがいいという意見もありましたし、クラウドに慣れないという方も少なくない中で、納得していただきながら進めていかなければいけなかったところですかね。そういったこともあり、先にパスワード付きzipファイルの受信をブロックし、その後に時間を空けて送信をブロックすることで、送信と受信のブロックを同時に行うより混乱が少なくなるよう配慮しました。また、ウイルスに感染して個人情報が流出してしまった他社の事例などを共有し、自分たちが被害者側にも加害者側にもなり得るということをお伝えし、社員の皆さんに対応していただきました。
――実装当日は大きなトラブルもなく実施できたようですね。
渡邉 社員の皆さんの協力もあって無事に実装することができました。それまでmedibaでは取引先とのファイル送付でメール添付ファイルを使うことが多く、クラウドサービスを使っていない方も多かったのですが、これを機にこういったツールが便利に使えるということを理解してもらえたことも、プラスになったかなと思います。
セキュリティリスクがあるパスワード付きzipファイルの見直しは、デジタル技術で新たな価値やビジネスモデルを生み出しているmedibaにとって、必須であったように思います。「PPAP」の問題点や「脱PPAP」後のファイル送受信の方向性などを詳しくお話いただいた渡邉さん、どうもありがとうございました。
最後まで読んでいただきありがとうございました。あなたの「スキ」がmediba+編集部の励みになります!