「業務関連の情報をこのメールに添付します、ファイル解凍用のパスワードは別メールで送ります」——こんなメールを受け取ったり、送ったりした経験のある方は多いのではないだろうか。ファイルをパスワード付きで圧縮して相手方に送り、パスワードを別送する、いわゆる「PPAP」と呼ばれるやり方は、国内の多くの組織や企業で採用されてきた。
実は、パスワード付きで圧縮する方式は、メールという同じ経路で本体とパスワードを送ってしまう以上セキュリティ的にはそれほど効果が高くない。それもそのはず、PPAPは元々、操作ミスなどで間違った相手に情報を送付する「誤送信」への対策として登場した方法だ。万一間違った相手にファイルを送付してしまったとしても、パスワードを送付する前に気付けたら、「そのまま削除してください」と依頼することで流出を防ぐことができる、というわけだ。
オンラインイベント「Security Forum 2021 ~マイクロソフトが実現する、変化に備えるセキュリティ対策~」を視聴するメリットよりもデメリットが目立ち、広がる「脱PPAP」の動き
だが徐々に、PPAPがもたらすメリットよりも、デメリットの方が目に付くようになってきた。
まず、誤送信に気付いて削除を依頼したとしても、確実に削除されたかどうかを確認する術がない。リモートからロックしたりワイプすることもできないため、仮にパスワードを伝えなかったとしても、何度もリトライすれば開けてしまう可能性もある。
また最近では、送付側の手間を省くためか、パスワードを自動生成して送付するソリューションも登場しているが、こうなると「誤送信していないか確認し、問題なければパスワードを送る」という、誤送信対策本来の目的が意味をなさなくなってしまう。中には、パスワードだけ先に共有しておき、後からファイルが届くケースもあるというが、ますます意味が薄れてしまう。
何より、多数のパスワード付き圧縮ファイルを取り扱う場合、受信側と送信側、双方の手間が増してしまう。セキュリティ対策としてはもちろん、誤送信対策としての意味が薄れる一方で、負荷だけは増えていく、という状況なのだ。
その上、パスワード付きで圧縮されたファイルは、マルウェア検知を行うフィルタをスルーしてしまう。最近ではサイバー攻撃者もこの特徴を把握し、マルウェアをわざわざパスワード付きファイルにして添付させ、セキュリティ対策をかいくぐろうと悪用しているほどだ。
こうした潮流を受けて2020年11月、当時の平井卓也デジタル改革担当大臣が、内閣府・内閣官房でPPAP方式を廃止すると発表した。この発言は大きな波紋を呼び、富士通や日立製作所といった大手ITベンダーも相次いでPPAPを廃止する方向に動き始めている。
オンラインイベント「Security Forum 2021 ~マイクロソフトが実現する、変化に備えるセキュリティ対策~」を視聴するPPAPに代わる、手軽で安全なファイル共有方法とは?
問題はPPAPに代わる代替策だ。今やパートナーや顧客との情報の授受なしに業務を進めることは難しいが、そのためだけに新たにサーバを用意するのもコストが大きすぎる。なるべく今までのワークフローや使い勝手を変えることなく、誤送信を防ぎ、またセキュリティ対策としても有効な方法を、多くの企業が望んでいる。
そこで今、有効な代替策として注目されているのが「Webダウンロード方式」だ。共有したいファイルをWeb上にアップロードし、送るべき相手にリンクをメールで送付する。設定によって受け取った側すべてが閲覧することも、認証を経た上で特定ユーザーのみがファイルを閲覧することも可能だ。さらに、必要に応じて公開を停止することで、流出を防ぐこともできる。
このセッション「脱「PPAP」に利用できるMicrosoft 365の機能」では、Webダウンロード方式によってどのように脱PPAPを実現するか、Microsoft 365のOneDrive for Businessの具体的な機能やデモンストレーションも交えながら紹介する。PPAPの代替案に悩んでいる方ならば、有益なヒントを得られるだろう。
