全2回　「脱PPAP」でセキュリティ強化＆企業変革を実現する方法 《連載:第2回》 脱PPAP向けソリューションと選定ポイント

2020年11月の政府による宣言を皮切りに、脱PAPP＝パスワード付きZIPメールの送受信を禁止する企業が増えています。では、PPAPの代替策としてどのような手法が適切なのでしょうか。今回は代表的な脱PAPP向けのソリューションと、選定・導入する際のポイントを紹介します。

3つのPPAP代替策

現在、多くの企業でPPAPの代替策として使われているのは次の3つのソリューションです。

①ファイル転送サービス

メールのようにファイルを直接送信するのではなく、インターネット上のサーバーを介して送受信するサービスです。通常のサービスの場合、送信者がファイル転送サービス上にファイルをアップロードするとダウンロード用URLとパスワードが自動送信され、受信者はそのURLにアクセスしてデータをダウンロードします。

メールにはないメリットは大容量ファイルでも簡単に遅れること。ただし、企業で利用するなら、無料のサービスではなく、有料の法人向けサービのほうが良いでしょう。法人向けサービスの多くは、下記のようなセキュリティ機能を実装しているからです。

• SSL/TLSによる通信経路の暗号化
• ファイルのアップロード・ダウンロード時のウィルスチェック
• アクセス権限設定
• アクセス・操作ログが取得できるロギング機能

②クラウドストレージ

中央省庁や文部科学省を始め、脱PPAPを推進している多くの組織・企業がクラウドストレージへの移行を発表していることからも、最もオーソドックスな代替策と言えるでしょう。インターネット上でファイルを保管・共有できるサービスのため、場所や端末の種類を問わずアクセスすることが可能。定期的な自動データバックアップを利用することもできます。

一般的な使い方は、送信者がファイルをアップロードし、アクセス権限を付与した受信者に共有リンク（URL）をメールやビジネスチャットで通知。受信者は共有リンクからクラウドストレージにアクセスし、ログインしてファイルを受信します。もちろん、大容量ファイルの共有も可能です。一見、ファイル転送サービスと似ているように思われるかもしれませんが、クラウドストレージはデータの共同編集や、アクセス・閲覧権限の細かい設定ができることなどがメリットとして挙げられます。

ビジネスで利用するならやはり有料（ランニングコスト）の法人向けサービスを推奨します。サービスによって異なるものの、通常、以下のようなセキュリティ機能が備わっています。

• SSL/TLSによる通信経路の暗号化
• 保管時のデータ暗号化
• ファイル受信時の認証（2要素認証）
• ファイルのアップロード・ダウンロード時のウィルスチェック
• アクセス権限設定（IPアドレス・GPSでの制限も）
• アクセス・操作ログが取得できるロギング機能

ファイル共有ツールとしては他にビジネスチャットも使われていますが、クラウドストレージに比べてファイル共有のためのストレージ容量がそれほど多くないというデメリットがあります。

③S/MIME（Secure / Multipurpose Internet Mail Extensions、エスマイム）

メールベースの代替案として代表的なのがS/MIMEです。盗聴防止となりすまし防止に使われる手法で、盗聴防止の場合は、送信者が電子証明書（公開鍵証明書）と呼ばれる暗号化技術を使ってメール本文・添付ファイルを暗号化し、受信者側の自分の秘密鍵で復号します。

メリットはメールでありながら通信経路を暗号化できるので、非常に高い機密性が確保すること。ただし、メール暗号化するためには、事前に送信者と受信者双方が認証局から証明書と電子証明書を入手しておくこと、そしてS/MIMEに対応した電子メールソフトを使用していることが前提として必要であり、その分の手間・コストが掛かります。

他にメールを使う手法としては、暗号化通信専用のポート番号（※）が不要の「STARTTLS」という通信ルート暗号化技術も知られていますが、専用のポート番号が存在しないことから暗号化されたかどか確認できないという点がデメリットです。

（※）ポート番号…IPアドレスとともにデータを正しい宛先に届けるために必要な情報

脱PPAPのセキュリティ面以外の効果

紹介したソリューションはいずれもPPAPと比べて特にセキュリティ面で優れたものばかりですが、他のITツールや技術同様、それぞれ一長一短があります。

例えば①のファイル転送サービスは、近年VPNに代わってサイバー攻撃の対象にされることが増えてきたと言われていますし、多彩な機能を持つクラウドストレージでも、米マイクロソフト社を始め、アクセス権の設定・管理ミスなどのヒューマンエラーによる情報漏えいが続発しています。

一方、メールベースのセキュリティ対策は一見手間が掛かりそうですが、最近はマルウェア対策・誤送信対策などをオールインワンで提供するメールセキュリティサービスなども登場しており、導入している企業もあるようです。いずれにせよ選定の際は、機能・コスト・定期的なセキュリティ（脆弱性）診断の有無の確認はもちろんのこと、利用人数（費用が変わるサービスがあるため）、取り扱う情報の重要度、自社セキュリティポリシーにマッチしたものを選ぶことが大切です。

PPAPは海外ではほとんど浸透していない日本独自の慣習、いわゆる“ガラパゴス”的な文化。いくつものリスクを指摘されてきたにもかかわらず多くの企業が採用し続けてきた理由も、単純に“右にならえ”の精神によるものだったのかもしれません。

PPAPには、第1回目記事で紹介した“利便性”と“セキュリティ面”以外にも問題点があります。それは情報が個人または担当者間のみでの共有となりやすく、仕事の属人化を招きやすいことです。しかし今や、企業成長のために、社内・社外とのIT・デジタルを活用したコミュニケーション＆コラボレーションが求められる時代。その点においてもPPAPは廃止すべき手法なのでしょう。

先述のように決して万能ではないものの、例えばオンプレミスにこだわり続けてきた企業がクラウドストレージを利用すれば、そうした新しい働き方、新しい環境に近づくことができます。企業にとって脱PPAPは、信頼性向上だけでなく、ビジネスのやり方や組織を根本から変革するための“第一歩”としても有効な取り組みと言えるのではないでしょうか。