PPAP対策とは？パスワード付きZipファイルの添付メール廃止について解説

---

PPAPとは？社会情勢と背景

PPAPとは？

社会情勢

2020年11月にデジタル庁が中央省庁におけるPPAP廃止の方針を示したことをきっかけに、脱PPAPの流れが加速していきました。
また、PPAPは以下の理由から疑問視する声も高まっています。

サイバー攻撃者による悪用

パスワードも同じ通信経路で送られることが多いため、中間者攻撃などで窃取や盗聴がされやすい。

運用負荷の増加

パスワード管理や複数回に分けた連絡作業が煩雑。

規制強化

金融庁だけではなく、多くの企業・団体でも使用禁止や廃止推奨へ動いている。

こうした流れから、脱PPAPは今後ますます進む見込みです。

---

なぜPPAPは問題なのか？

PPAPの利用に懸念の声があることは簡単に前述しましたが、具体的には下記のような課題があります。

セキュリティ面での課題

暗号化強度が不足している

Windowsに標準装備されているZip暗号化はZipCrypto方式です。ZipCrypto方式は暗号の強度が低く、パスワード解析ツールや総当たり攻撃を受けると、解読される可能性があります。

パスワードの共有時にリスクがある

前述した中間者攻撃などによるパスワードの窃取や盗聴のほか、メール本文や電話など別ルートでパスワードを伝える際の人為的ミスによる情報漏えいのリスクがあります。

標的型攻撃に対する脆弱性がある

パスワード付きZipファイルはウイルススキャンの対象外となってしまうため、攻撃者はこの仕組みを狙ってマルウエア感染させるケースも報告されています。

業務効率面での課題

• 複数回のメッセージ送信による手間の増加
• ファイル受領側とのコミュニケーションコストの増加
• トラブルが発生した際の対応が困難

---

PPAP対策ソリューションの種類

---

PPAP対策の最適解とは？

前章で取り上げたPPAP対策ソリューションのうち、どれを選択すべきかを考えていきましょう。
まず「メール送信のセキュリティ強化」は、社外とのメールには適用が難しく対応策としては現実的ではありません。
次に「チャット・WEB会議ツール上でファイル共有」は、手軽にファイルを送信できるメリットは大きいですが、コンテンツの管理を複数のツールで行うことになるため、最新版のファイルがどこにあるかわかならなくなるケースが発生します。また、ツールによってセキュリティポリシーが統一されないことが多いため、この方式もあまりおすすめはできません。
そのため「ファイル転送・共有ツールの利用」または「メール添付ファイルの分離」がPPAP対策の最適解と考えられます。

---

おススメのPPAP対策ソリューション2選

---

Box（Box社）

「ファイル転送・共有ツールの利用」のソリューションとして、今回はBoxをご紹介します。

Boxとは？

Boxはビジネスに特化した容量無制限のコンテンツマネジメントプラットフォームです。単なるクラウドストレージではなく、Boxならではの機能によって、セキュアなコンテンツ管理と社内外とのスムーズなファイル共有が可能です。

Boxの特徴

企業内のコンテンツをBoxに集約することで、セキュリティポリシーの統一化だけではなく、シャドーITを撲滅させることが期待できます。

容量無制限

容量無制限で利用できるため、空き容量の不足によるファイルの削除の手間も必要なく、容量追加による追加費用もかかりません。

大容量ファイルの共有

動画などの容量が大きいファイルも簡単に共有が可能です。また、Boxで共有することで、メールサーバーの保存容量を圧迫しません。

アクセス権限管理

ファイルやフォルダごとに閲覧・編集できるアクセス権限を細かく設定し、不正アクセスを防ぎます。

アクセス履歴

誰がいつどのファイルにアクセスしたかの記録を確認することで、不正な利用を発見できます。

誤送信への対応

Boxの共有リンクを使い、誤って別の人に送ってしまった時は、共有リンクを削除することで、情報漏えいリスクを軽減できます。

共有リンクのパスワード/有効期限設定

共有リンクにはパスワードや有効期限を設定でき、第三者による不正利用を防止できます。

共有リンクのダウンロード許可/不許可

閲覧だけ許可してダウンロードは禁止するなど、柔軟な権限設定で情報流出を抑制します。

ウイルスチェック

Boxにアップロードされたファイルは自動でウイルス検査されるので、安全性が確保されます。

Boxでのファイルの共有方法

Boxは、社外関係者へ「フォルダ招待」と「共有リンク」の方法で資料共有が可能で、どちらの方法も個別のセキュリティ設定を行うことができます。

---

Mail2Cloud（mxHERO社）

「メール添付ファイルの分離」のソリューションとして、今回はMail2Cloudをご紹介します。

Mail2Cloudとは？

Mail2Cloudは、メール送受信時にメールデータや添付ファイルを、連携されているクラウドストレージへ自動的に保存できるソリューションです。
エンドユーザーによるメール送受信の利便性を一切損なうことなく、メールセキュリティを向上させることが可能です。
後述では、Boxとの連携を例として記載していますが、Googleドライブ／Microsoft OneDrive／Dropbox／Microsoft SharePoint／Egnyteの各種オンラインストレージもサポートされています。

Mail2Cloudの特徴

利用者のユーザビリティーを変更せず、脱PPAPの実現が可能

ファイルが添付されたメールを送信すると、ファイルはウイルススキャン後にBoxへ格納され、共有リンク（URL）の発行が自動で行われます。
また、ユーザーが追加操作しなくても、Mail2CloudがBoxの共有リンクのセキュリティ設定を自動で行います。

受信者側の利便性・セキュリティ向上

Zipファイルを解凍し、パスワードを入力する作業は不要になり、共有リンクをクリックするだけでファイルの閲覧が可能となります。
また、受信者はプレビューでファイルを確認できるため、コンテンツをローカルにダウンロードする必要がなく、添付ファイルを経由したマルウエアの感染リスクを軽減します。

送信後のファイル管理

ファイル送信後も、ファイルの変更やアクセス履歴の管理が可能です。
また、誤ったファイルを送付した際は、Boxから共有リンクを削除して対処することができます。

添付ファイルの管理

添付ファイルも自社Boxで管理が可能です。
企業の運用に合わせて、受信者ごとに格納するフォルダを指定する、共有リンクのセキュリティ設定を変更する、などさまざまなルール設定ができます。また、メタデータが自動で付与されるため、Box上でのファイル検索が容易になります。

メール送信時のフロー

メール送信時のポイント

①利用者のユーザビリティーを変更せず、メールセキュリティ（PPAP対策）の実現

ユーザーのメール送信時の操作を変更することはなく添付ファイルのセキュリティを確保。

②全社統一のセキュリティレベルで添付ファイルの送付が可能

ユーザー操作無しでも、Mail2Cloudによりクラウドストレージの共有リンクのセキュリティ設定を自動実施。

③共有リンク削除から誤送信後の対処が可能

アクセス履歴から影響範囲の確認が可能。

メール受信時のフロー

メール受信時のポイント

①取引先に対してツールを指定せずに利用可能

取引先（送信者）が従来の方法で送付しても、自社にて受け取るコンテンツの入口をクラウドストレージに自動的に集約。

②社内の働き方改革の実現

プレビュー機能を利用して、デバイスフリーでファイルへのアクセスが可能。

③外部から受領した添付ファイルのセキュリティを確保

プレビューで閲覧するため、ユーザーはコンテンツをダウンロードする必要がなくなる。

---

おわりに　今こそ脱PPAP！未来志向の情報共有へシフトしよう

金融庁からの金融機関への要請は、金融機関以外の企業・組織にも波及しています。従来慣れ親しんだ「パスワード付きZip」の運用から脱却し、安全かつ効率的な情報共有体制の構築が求められています。
まずは現状把握と課題整理から始め、自社環境に最適なソリューション選定へ踏み出しましょう。